De Turkse SSL-verstrekker Turktrust die verschillende frauduleuze certificaten uitgaf zegt niet gehackt te zijn zoals sommige media beweren. Google kwam gisteren met de waarschuwing dat Chrome op 24 december ongautoriseerde certificaten voor het '*.google.com' domein ontdekte en blokkeerde. Het valse certificaat voor Google zou al in augustus 2011 zijn gemaakt.
Turktrust liet Google weten dat de twee intermediate CA-certificaten per ongeluk aan organisaties waren verstrekt, die eigenlijk gewone SSL-certificaten hadden moeten ontvangen. In een verdere verklaring stelt Turktrust dat het incident in augustus 2011 tijdens een softwaremigratie zich voordeed.
Testsysteem
Voor juni 2011 waren de certificaatprofielen op de productiesystemen van Turktrust naar een testsysteem geëxporteerd, en bevatte een bepaald aantal certificaatprofielen. Voor testdoeleinden werden twee extra profielen toegevoegd die een CA-extensie bevatte. In de tussentijd waren ook de productiesystemen geüpgraded en van drie extra SSL-certificaatprofielen voorzien. Dit betekende dat het aantal profielen op het productiesysteem niet meer met het testsysteem overeen kwam.
De tests eindigden voor 30 juni, maar door een 'ongelukkige samenloop', werden de productiesystemen gepatcht met de profielen van het testsysteem, die 2 verkeerde profielen bevatte en de 3 juiste profielen miste. De verkeerde profielen waren alleen op 8 augustus gebruikt voor het uitgeven van de twee frauduleuze certificaten en waren niet als sub-CA-certificaten bedoeld.
Aanvraag
Door een certificaataanvraag met één van de ontbrekende profielen op 10 augustus, werd de situatie ontdekt. De verkeerde profielen werden vervolgens door de juiste profielen vervangen. Het was echter toen nog niet bekend dat er een vals certificaat voor het Google-domein was aangemaakt. Uiteindelijk werd het systeem op 17 oktober 2011 helemaal geüpgraded en door KPMG geaudit en goedgekeurd.
Verder laat Turktrust weten dat één van de ten onrechte uitgegeven certificaten al was ingetrokken voordat die gebruikt was. Het andere certificaat zou op 6 december 2012 gebruikt zijn voor het signeren van het frauduleuze certificaat voor *.google.com. Voor 6 december was het certificaat op een IIS-server geïnstalleerd die als webmailserver werd gebruikt.
Firewall
Op 6 december werd het certificaat en de sleutel naar een Checkpoint-firewall geëxporteerd. "Het was dezelfde dag van de uitgifte van het frauduleuze certificaat", aldus een werknemer op de Mozilla-mailinglist. De Checkpoint-firewall zou zijn geconfigureerd voor het uitvoeren van Man-in-the-middle-aanvallen, maar volgens de werknemer zou Checkpoint automatisch Man-in-the-Middle-certificaten genereren.
Met deze certificaten is het mogelijk om een versleutelde verbinding af te luisteren. Normaal zou dit een foutmelding aan de kant van de gebruiker opleveren, maar in dit geval was het uitgegeven certificaat van een legitieme SSL-verstrekker afkomstig. Toen Turktrust door Google op 26 december werd ingelicht werd ook het tweede frauduleuze certificaat ingetrokken.
"De beschikbare gegevens suggereren dat het *.google.com certificaat niet voor oneerlijke doeleinden is uitgegeven of voor dit soort doeleinden is gebruikt", aldus de werknemer, die ook een aanval op de SSL-verstrekker zelf ontkent. "Er is zeker geen enkele data om te bewijzen dat de Turktrust-systemen gehackt zijn."
Deze posting is gelocked. Reageren is niet meer mogelijk.