Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Certificaatautoriteit ANSSI verstrekte vals Google-certificaat

De Franse certificaatautoriteit ANSSI heeft een vervalst ssl-certificaat uitgegeven dat afkomstig leek van Google, zo ontdekte de internetgigant. ANSSI spreekt van een menselijke fout en stelt dat internetgebruikers niet zijn getroffen.

Het Google Security Team meldt op zijn weblog dat zij op 3 december een vals certificaat hebben ontdekt. Het ssl-certificaat bleek te zijn verstrekt door ANSSI, de organisatie die certificaten aan Franse overheidssites uitdeelt. Het valse ssl-certificaat is binnen een privénetwerk gebruikt om versleuteld dataverkeer van en naar Google-servers af te tappen, zo concludeerde ANSSI na te zijn geïnformeerd door Google. Kort na de ontdekking besloot het Google Security Team om de zogeheten intermediate certificate authority direct te blokkeren in zijn Chrome-browser. Ook andere browserbouwers zijn geïnformeerd over de kwestie.

De ANSSI heeft inmiddels laten weten dat er bij de uitgifte van het betreffende certificaat sprake was van een menselijke fout. Het certificaat zou zijn gebruikt door het ministerie van Financiën om het interne netwerk te kunnen monitoren. Daarmee zijn de regels van ANSSI overtreden. De certificaatautoriteit zegt dat het maatregelen heeft genomen om herhaling te voorkomen en dat de veiligheid van zowel de Franse overheid als die van internetgebruikers niet in gevaar is geweest.

Google wijst erop dat de kwestie heeft aangetoond hoe belangrijk zijn Certificate Transparancy-platform is. Met dit zelfontwikkelde systeem wordt de geldigheid van certificaten realtime gecontroleerd. Zo moet het in omloop brengen van valse certificaten voorkomen worden, evenals inbraken bij certificaatautoriteiten, zoals bij de roemruchte Diginotar-zaak het geval was.

Door Dimitri Reijerman

Redacteur

08-12-2013 • 13:07

66 Linkedin Google+

Lees meer

Reacties (66)

Wijzig sortering
De oplossing voor het CA fiasco bestaat al en heet DANE (DNS-based Authentication of Named Entities).
In het kort komt het er op neer dat je via DNS publiceert welke SSL-certificaten je gebruikt.
Bezoeker kunnen daarmee controleren of ze het juiste certificaat hebben gekregen of een ander certificaat dat (onterecht) op dezelfde naam staat.
Je kan het op verschillende manier gebruiken.
Ten eerste kan je het gebruiken om aan te geven welke CA en/of welke certificaten je gebruikt. Daarmee zou deze fout van ANSSI onschadelijk zijn gemaakt.
Ten tweede kun je het gebruiken om je eigen CA te draaien en kun je 'self-signed certificates' gaan gebruiken. Dat kan nu ook al, maar dan wordt je certificaat niet herkend door de browsers en krijgen je bezoekers een waarschuwing dat het certificaat niet kan worden gecontroleerd. Met DANE kan dat wel. Je hoeft dus niet meer te betalen voor SSL-certificaten en je bent niet meer afhankelijk van de kunde en goede bedoelingen van honderden CA's. Bijkomend voordeel is dat je zoveel certificaten kan aanmaken als je wil en ze zo vaak kan wisselen als je wil, het is immers gratis en je hebt geen vertragingen meer bij het aanvragen.
Daarvoor moet je DNS kunnen vertrouwen maar daarvoor hebben wel gelukkig DNSSEC.
De enige menselijke fout die ik hier zie, is dat ze dit zo gedaan hebben, dat google er achter kwam.
Kom op zeg, als ik bij mijn werkgever een nieuw certificaat moet regelen voor een vpn verbinding bijv. dan zit er al meer controle op, dan 1 persoon. Alle C.A.'s waar ik gebruik van maak, verifiëren alles ook tig keer. Daarnaast zou dit niet naar boven komen, als de certificaten enkel intern gebruikt zouden worden, maar pas als er bevestiging gevraagd wordt aan een publieke CA mbt dit certificaat. kortom, slap gelul, franse veiligheidsdienst is betrapt, en t excuus is niet veel beter dan 'de hond heeft mijn huiswerk opgegeten' of: 'de verantwoordelijke assistent heeft dit zonder toestemming gedaan'
De Staat der Nederlanden heeft ook z'n eigen root CA (PKI overheid), dus theoretisch kan de AIVD ook aan trusted cert's voor elk mogelijk domein komen.

Ik weet uit ervaring dat een PKI overheid cert krijgen inmiddels vrij veel werk is geworden, vanwege alle controles die gedaan worden (is na het Diginotar gebacle behoorlijk aangescherpt denk ik), maar dat wil niet zeggen dat er voor de AIVD geen achterdeur in het proces is gemaakt. Technisch is er geen belemmering iig.
ze hebben zelf een certificaat voor Google.com uitgegeven voor intern gebruik en hier is iets mis gegaan.
Waarbij het 'iets' dat is misgegaan gewoon het ontdekken door Google is. Het lijkt er namelijk sterk op dat men een vals Google.com certificaat heeft uitgegeven om middels een man-in-the-middle aanval het (standaard versleutelde) verkeer naar Google.com te kunnen ontsleutelen om zo te kunnen monitoren. Spionage dus.

Het lijkt wel of er nu elke dag berichten naar buiten komen waaruit blijkt dat onze overheden niet te vertrouwen zijn en, als het hun zo uitkomt, structureel de wet/regels overtreden om te krijgen wat ze willen hebben.
Het lijkt me buitengewoon sterk dat dit een menselijke fout betreft.

"Het valse ssl-certificaat is binnen een privénetwerk gebruikt om versleuteld dataverkeer van en naar Google-servers af te tappen, zo concludeerde ANSSI na te zijn geïnformeerd door Google."

Dus we hebben per ongeluk een vals certificaat en het is misbruikt. Iets zegt me dat dat certificaat bewust is vervalst om oneigenlijk gebruik mogelijk te maken. Resteert de vraag of het vaker voor komt, en wie de opdracht gaf tot vervalsing.

[Reactie gewijzigd door kjast op 8 december 2013 14:59]

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Cartech

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True