Microsoft blokkeert valse Google-certificaten

Microsoft heeft 45 ssl-certificaten die ten onrechte zijn uitgegeven door een Indiase certificaat-autoriteit geblokkeerd. Gebruikers van Windows 8 zijn automatisch beschermd, maar gebruikers van oudere versies moeten een update installeren.

Windows 8Eerder deze week bleek dat de certificaat-autoriteit, het Indiase National Informatics Centre, ten onrechte ssl-certificaten voor Google-domeinen had uitgegeven. Microsoft is het enige bedrijf dat certificaten van de bewuste organisatie accepteert; naast Internet Explorer gebruikt de Chrome-versie voor Windows de certificaat-database van Microsoft.

Microsoft heeft de bewuste certificaten nu geblokkeerd, maar tekent aan dat onduidelijk is of er meer valse certificaten zijn gegenereerd. In Windows 8 en Windows Server 2012 worden de certificaten automatisch geblokkeerd; gebruikers van oudere, ondersteunde Windows-versies moeten een Windows Update installeren om de certificaten ongeldig te laten maken.

Het is nog altijd onduidelijk hoe de valse certificaten zijn gegenereerd. Het gaat om certificaten voor domeinen als Google.com, Gmail.com en imap.gmail.com. Daarnaast zijn valse certificaten voor verschillende Yahoo-domeinen gegenereerd, waaronder de loginpagina van Yahoo en Yahoo Mail. Overigens lopen Chrome-gebruikers minder risico dan Internet Explorer-gebruikers: Google levert een lokale kopie van zijn servercertificaten mee met installatie, waardoor de valse certificaten niet door Chrome zullen worden geaccepteerd.

Door Joost Schellevis

Redacteur

Feedback • 11-07-2014 09:45 33

11-07-2014 • 09:45

33

Lees meer

Egyptisch bedrijf gaf valse Google-certificaten uit
Egyptisch bedrijf gaf valse Google-certificaten uit Nieuws van 24 maart 2015
HP trekt certificaat in vanwege blunder met trojan
HP trekt certificaat in vanwege blunder met trojan Nieuws van 10 oktober 2014
Google verruilt OpenSSL in Chrome voor eigen fork
Google verruilt OpenSSL in Chrome voor eigen fork Nieuws van 24 juli 2014
Google ontdekt valse ssl-certificaten voor Google-sites
Google ontdekt valse ssl-certificaten voor Google-sites Nieuws van 9 juli 2014
Google komt met fork van OpenSSL genaamd BoringSSL
Google komt met fork van OpenSSL genaamd BoringSSL Nieuws van 21 juni 2014
Google brengt Android 4.4.4 uit voor Nexus-apparaten
Google brengt Android 4.4.4 uit voor Nexus-apparaten Nieuws van 20 juni 2014
Meer producten en artikelen
Privacy Netwerk en systeembeheer

Reacties (33)

-Moderatie-faq
33
33
27
6
1
3
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 11 juli 2014 12:15
Als je OS automatic updater heeft van revoked certificates (voor gebruikers win 8 zowiezo) en voor windows 7 gebruikers die kb/2677070 hebben binnengehaald. (http://support.microsoft.com/kb/2677070) krijgen de updates van certificaten automatisch en men kan checken of men deze heeft gehad door in de event viewer (windows log) bij Application naar event id 4112 te zoeken.
Dit moet als resultaat het volgende geven:

Source: CAPI2
Level: Information
Event ID: 4112
Description: Successful auto update of disallowed certificate list with effective date: Thursday, July 3, 2014 (or later).

Is dit niet het geval, installeer dan alsnog certificate updater voor Windows (7) https://support.microsoft.com/kb/2677070.

Voor mensen zonder automatic updater van revoked certificates dienen de volgende entries in Untrusted certificates vermeld te staan (hiervoor certmgr.msc uitvoeren):

NIC CCA India 2007 ‎48 22 82 4e ce 7e d1 45 0c 03 9a a0 77 dc 1f 8a e3 48 9b bf
NIC CA 2011 CCA India 2011 ‎c6 79 64 90 cd ee aa b3 1a ed 79 87 52 ec d0 03 e6 86 6c b2
NIC CA 2014 CCA India 2014 ‎d2 db f7 18 23 b2 b8 e7 8f 59 58 09 61 50 bf cb 97 cc 38 8a

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:10]

vali 11 juli 2014 10:13
Niet alleen Windows 8 en 2012 server waren vatbaar, alle versies van Windows zijn vatbaar, dus ook Windows Phone. Ik ben blij dat er automatisch beschermt bent tegen deze valse certificaten (al gebruik ik bijna geen google dienst meer).

Het is genoeg keren aangetoond wat de schade van man-in-the-middle attacks kunnen zijn en de personen achter deze aanval konden hun aanval ook uitbreiden naar banken.
An automatic updater of revoked certificates is included in supported editions of Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, and Windows Server 2012 R2, and for devices running Windows Phone 8 or Windows Phone 8.1. For these operating systems or devices, customers do not need to take any action because the CTL will be updated automatically.

For systems running Windows Vista, Windows 7, Windows Server 2008, or Windows Server 2008 R2 that are using the automatic updater of revoked certificates (see Microsoft Knowledge Base Article 2677070 for details), customers do not need to take any action because the CTL will be updated automatically.

[Reactie gewijzigd door vali op 22 juli 2024 23:10]

Gomez12 @vali11 juli 2014 20:19
Niet alleen Windows 8 en 2012 server waren vatbaar, alle versies van Windows zijn vatbaar, dus ook Windows Phone. Ik ben blij dat er automatisch beschermt bent tegen deze valse certificaten (al gebruik ik bijna geen google dienst meer).
Ik ben nog blijer dat ik gewoon browse met browsers die deze CA simpelweg niet accepteren.

MS zijn actie is leuk, maar blijft achteruitwerken
westlym 11 juli 2014 10:06
oke, en what about voor Firefox? Er wordt niks hierin genoemd.
latka @westlym11 juli 2014 10:18
Die vertrouwt deze CA sowieso niet.
cyberstalker 11 juli 2014 09:59
Is het niet een beter idee om certificaten van deze onbetrouwbare CA niet langer te accepteren in IE? Nu is het een beetje dweilen met de kraan open.
Tozz @cyberstalker11 juli 2014 13:32
Dan hou je uiteindelijk geen enkele CA meer over. Een CA kan, net als alles, een keer gehacked worden. Het certificaat systeem leunt nou eenmaal zwaar op CA's en alles wat een CA uitpoept wordt als veilig geacht. Dat dat in praktijk anders kan zijn is nu al meermalen aangetoond.
dtech @Tozz11 juli 2014 13:41
De CA's zijn letterlijk de basis/sleutel/grondslag van de betrouwbrouwbaarheid van beveiligd internetverkeer.
Als een CA dat vertouwen niet waar kan maken, verdienen ze die vertrouwenspositie niet en moeten ze dus uit de diverse root stores verwijderd worden.

Als jij een bankkluis huurt en er wordt in die kluis ingebroken dan haal jij daar toch ook je spullen weg?
Armin
@dtech11 juli 2014 17:48
Probleem is echter dat ook grote jongens als Comodo al eens valse certifciaten uitgegeven hebben. Stoer zeggen dat die dan ook maar gebanned moeten worden, gaat dan niet lukken O-)

Dat is ook het grote probleem. Je kunt een CA als geheel niet meer 'niet vertrouwen' aangezien teveel legitieme sites dan ook stoppen met werken, en die sites niet even snel kunnen overschakelen.

Dat is ook de achillishiel van het hele certifciaat model.
TheMak @Tozz11 juli 2014 19:56
Als ik een CA zou zijn, dan zou ik niet de illusie hebben dat ik bestand ben tegen hacks. Ik zou serieus overwegen om de machine die de certificaten genereerd los te koppelen van elk netwerk. Als ik een certificaat wil genereren, dan zou ik de benodigde gegevens van een uitgeprint formulier inscannen. Het resulterende certificaat laten uitprinten, en op kantoor inscannen en doorsturen naar de klant. Uiteraard moet het personeel wel het papier bekijken.
Tozz @TheMak12 juli 2014 10:24
Prima. En nu ben je een CA die duizenden certificaten per dag uitgeeft. Hoe doe je dat nu? En hoe zorg je dat je medewerkers niet 'gaar' worden van het repeterende werk en perongeluk dat Gmail.com certificaatje toch dooor de activatie halen?
TheMak @Tozz12 juli 2014 20:13
Dat voorkom je niet, maar ik denk wel dat je als criminele organisatie wel een risico neemt door zo'n poging te wagen. Je moet een e-mail verzenden, je moet klaarstaan om een e-mail in ontvangst te nemen. Je moet geld overmaken. Als een medewerker een aanvraag voor een gmail certificaat ziet binnenkomen, dan kan je alles in werk stellen om de aanvrager op te sporen. Uiteindelijk moet de aanvrager toch af en toe zijn e-mail checken, en geld overmaken. Vanaf welk IP-adres is te traceren. De CA kan andere CA's waarschuwen. Je zou zelfs een besmet e-mail terug kunnen sturen. Op zijn minst onthul je een deel van je infrastructuur.

Als de CA-generator via het netwerk is te bereiken dan kan je risicoloos een poging wagen, door achter een willekeurige computer te gaan zitten die op internet is aangesloten is. Niet je eigen computer natuurlijk.

Overigens ga ik er wel vanuit dat een CA niet klakkeloos certificaten genereert, anders hebben CA's weinig zin. Maar eigenlijk realiseer ik me wel hoe de praktijk zou kunnen werken. Als ik als klant ziet dat een CA 50% goedkoper een certificaat kan leveren, terwijl dat voor het resultaat niet uitmaakt... Dan weet ik wel waar de klanten naar toegaan.
jimbo123 @cyberstalker11 juli 2014 10:07
Inderdaad, zo is diginotar destijds ook failliet gegaan.
Nu hoeft het natuurlijk niet zo te zijn dat deze CA hetzelfde is overkomen als Diginotar destijds, maar het kan toch bijna niet anders als dat deze CA iets fout heeft gedaan.
leuk_he @jimbo12311 juli 2014 13:59
Diginotar is failliet gegaan omdat ze er niet goed op reageerden. Maar tot zover hoor ik ook geen reactie van deze "NIC". Ik denk daardoor dat ze binnenkort hun afdeling certificaten wel kunnen opheffen gezien het totaal gebrek aan response.
Dennism @leuk_he11 juli 2014 23:34
houd er wel rekening mee dat de problemen bij Diginotar hier in nederland onder het vergrootglas lagen omdat het van origine een nederlands bedrijf was en groot leverancier van o.a. zeer veel overheidscertificaten en certificaten in de gezondheidszorg.

Misschien heeft deze organisatie allang gereageerd in India of in die regio, maar valt dat hier gewoon niet zo op omdat het in dit geval geen landelijk nieuws is (ik heb er in ieder geval in het journaal of op de radio niets over gehoord, wat bij diginotar wel anders was).
Soldaatje @cyberstalker11 juli 2014 10:06
Je kan zelf de CA verwijderen.
GekkePrutser @Soldaatje11 juli 2014 12:06
Ja, dat dacht ik ook al (ik denk toch niet dat ik ooit een Indiase website zal willen bezoeken), maar ik zie die er helemaal niet in staan. Zowel de "National Informatics Centre" als de " Government of India Controller of Certifying Authorities (CCA)" staan helemaal niet onder mijn trusted root certificates.

Ik zie alleen de gebruikelijke spelers, Thawte, VeriSign enz... Misschien valt die Indiase CA weer onder een van de andere PKI providers?
pouyann 11 juli 2014 09:56
kunnen jullie iets meer over de update vertellen, link naar KB, release datum etc..

Update: linkt naar KB https://support.microsoft.com/kb/2677070

[Reactie gewijzigd door pouyann op 22 juli 2024 23:10]

Vengeful @pouyann11 juli 2014 09:59
staat al een link in het artikel zelf, daar staat precies wat je moet doen als je geen windows 8 hebt.
Armin
@Vengeful11 juli 2014 18:01
Overigens wie even wil testen:

https://nicca.nic.in

Let wel, dit is een volledig legitieme site, maar één die hetzelfde intermediate certificaat gebruikt.

Krijg je een rood schildje, ben je veilig. Gaat de browser lekker door, niet.
Verwijderd @Armin11 juli 2014 21:16
Mijn ipad vertrouwt het ook niet.
Armin
@Verwijderd11 juli 2014 23:17
Klopt, Apple heeft alle certificaten van deze CA uberhaupt nooit vertrouwt.

Nadeel is dat alle legitieme sites het dan ook niet doen.

Jouw iPad zal waarschijnlijk een untrusted error geven, waar Chrome en Internet Explorer op Windows een revoked bericht geven.

Nietemin, je bent wel beschermt tegen deze valse cerificaten natuurlijk.
HKLM_ @pouyann11 juli 2014 09:59
Voor de informatie die Microsoft heeft vrij gegeven staat een linkje in het artikel.

Microsoft Security Advisory 2982792

https://technet.microsoft.com/en-us/library/security/2982792

[Reactie gewijzigd door HKLM_ op 22 juli 2024 23:10]

Verwijderd 11 juli 2014 11:19
Als de certificates geblokkeerd zijn dan hoef je toch geen update te installeren? Bij het checken van de CRL list zal de browser automatisch toch een security melding geven? of mis ik iets?

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:10]

Grootstyr @Verwijderd11 juli 2014 12:04
De certificaten zijn niet revoked door de CA die ze heeft uitgegeven, in dat geval zouden ze op de CRL van die CA staan. De certificaten worden door Microsoft client-side revoked, en daar is wel een update voor nodig.
Armin
@Grootstyr11 juli 2014 17:32
De certificaten zijn niet revoked door de CA die ze heeft uitgegeven

Ik had begrepen van wel?

Ars Technica beweert bijvoorbeeld ook van wel!
GekkePrutser @Verwijderd11 juli 2014 12:04
Ja, maar niet alle browsers gaan er goed mee om als ze de CRL server niet kunnen bereiken, dan geven ze vaak toch het slot icoon weer (omdat je anders helemaal geen SSL kan browsen).
Armin
@Verwijderd11 juli 2014 17:42
Bij het checken van de CRL list zal de browser automatisch toch een security melding geven? of mis ik iets?

Inderdaad, echter er zijn stukken software die die check standaard gewoon geheel niet uitvoeren (Google Chrome) of toch vast beginnen met een SSL connectie.

Plus dat sommige checks zoals OCSP geen volledige bescherming biedt tegen MITM aanvallen gedurende de eerste paar dagen, of op sommige intranet netwerken niet kunnen functioneren vanwege beperkte access naar buiten.

Meer details op:

http://blogs.msdn.com/b/i.../2011/04/07/10151106.aspx
Duke-it 11 juli 2014 12:04
Thanks to Google Chrome loop ik minder risico. Volgens mij is Google nog steeds de beste havik in het blokkeren/voorkomen van aanvallen via internet. Zij beseffen blijkbaar heel goed de kracht van het Web. Denk aan hun snelle inzet van 2-stap-verificatie, implementatie van zwaardere encryptie en dat soort grappen..
Voor de privacy grijp ik dan weer liever terug op Firefox, maar Internet Explorer heeft me sinds IE6 niet meer kunnen bekoren. Het schijnt goed te werken, maar ik moet steeds aan dat IE6 gedrocht denken ;(
leuk_he @Duke-it11 juli 2014 13:47
Google chrome ondekt alleen de valse google certificaten. Dus weer een google feestje. Wat er nog meer fout gaat bij anderen is onder de radar. (leermoment voor valse certificaten bakkers: alles clonen, maar niet google)

[Reactie gewijzigd door leuk_he op 22 juli 2024 23:10]

Armin
@leuk_he11 juli 2014 17:30
Sterker nog, Google is out-of-the-box de slechtse browser betreft SSL security.

Dat zeg ik niet als sneer, maar omdat certifciaat-controle standaard uit staat. Dus ook nadat de certifcaten al waren ontdekt en als 'revoked' gemarkeerd, accepteert Chrome gewoon die vervalste certifciaten.

Ik heb het uberhaupt altijd al onbegrijpelijk gevonden dat die optie standaard uit staat. Zet je die optie aan, zit het met de certifciaat controle wel goed, dus dat is gelijk een tip voor alle Chrome gebruikers.

Pas met deze Microsoft update zijn Google Chrome gebruilers veilig ongeacht of ze dat vinkje aangezet hebben.

De 'criminelen' (we weten nog net hoe het gekomen is) hebben dus de domme fout gemaakt ook Google certificaten te vervalsen waardoor de certifciate pinning van Chrome het dus opmerkte. Maar de ook vervalste Yahoo certificaten bleven bijvoorbeeld gewoon tot vandaag braaf geaccepteerd, lang terwijl Internet Explorer ze begon te weigeren (wat 1 dag na ontdekking was).

En nee, niet bedoeld als anti-Google sneer, gewoon onbegrip dat Google die optie standaard uit zet. Zet je die aan, is er namelijk niets meer mis en kun je gerust surfen.
Wolfos 11 juli 2014 18:46
Gezien Chrome voor Windows deze database gebruikt, gebruikt Opera deze dan ook? Dit is immers een op Chromium gebaseerde browser.
Armin
@Wolfos11 juli 2014 19:38
Hangt van je versie af. In de meeste gevallen zal het op Windows inderdaad de Windows Trust Store gebruiken:

http://www.opera.com/docs/ca/

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq