Nieuws

14% SSL-certificaten met kwetsbaar algoritme gemaakt

maandag 5 januari 2009, 12:02 door Redactie, 7 reacties

Veertien procent van alle SSL-certificaten op het web is gemaakt met het kwetsbare MD5-algoritme, zo blijkt uit onderzoek van internetbedrijf Netcraft. Onderzoekers bekeken 135.000 legitieme SSL-certificaten. Hackers maakten op 30 december bekend dat ze met behulp van 200 PlayStations 3 met MD5 gegenereerde SSL-certificaten konden vervalsen. Naast het overstappen op SHA-1 als algoritme, biedt ook het gebruik van Extended Validation (EV) SSL uitkomst. De standaard vereist het gebruik van SHA-1 of beter. De onderzoekers ontdekten dan ook geen op MD5-gebaseerde EV certificaten. Netcraft hoopt dat browserontwikkelaars zoals Microsoft en Mozilla uitgevers van SSL-certificaten gaan verplichten om met het gebruik van MD5 te stoppen.

Top 500 slechtste wachtwoorden aller tijden

Ernstig tekort aan goede beveiligingsonderzoekers

Reacties (7)

05-01-2009, 13:23 door Anoniem

Dus 14% van de certificaathouders zou kwaadwillende bedoelingen kunnen hebben en het probleem kunnen misbruiken via hun eigen certificaat?

05-01-2009, 13:58 door Bitwiper

Netcraft wekt met het onderzoek onterecht de indruk (en dat is hierboven terecht overgenomen) dat er een acuut probleem bestaat met de genoemde 14 procent van alle SSL certificaten op het web. Dat is onjuist, wel juist is dat CA's per direct moeten stoppen met het gebruik van MD5 (maar dat hadden ze natuurlijk jaren geleden al moeten doen).

Toelichting: zoals de onderzoekers [url=http://www.win.tue.nl/hashclash/rogue-ca/]zelf aangeven[/url] kunnen zij bestaande MD5 certificaten niet wijzigen. Voor de aanval is gebruik gemaakt van speciaal geprepareerde ongesigneerde certificaten, ook bekend als CSR's ([url=http://en.wikipedia.org/wiki/Certificate_signing_request]Certificate Signing Request[/url]). Alleen dergelijke certificaten kunnen onder complexe omstandigheden (timing, en voorkennis van serienummers) worden vervalst.

Uit de [url=http://www.win.tue.nl/hashclash/rogue-ca/#sec8]FAQ van de onderzoekers[/url]:

Question. What should websites do that have digital certificates signed with MD5?
Answer. Nothing at this point. Digital certificates legitimately obtained from all CAs can be believed to be secure and trusted, even if they were signed with MD5. Our method required the purchase of a specially crafted digital certificate from a CA and does not affect certificates issued to any other regular website.

05-01-2009, 15:32 door Anoniem

Door AnoniemDus 14% van de certificaathouders zou kwaadwillende bedoelingen kunnen hebben en het probleem kunnen misbruiken via hun eigen certificaat?

Nee... maar de certificaten van die 14% zijn gemakkelijker na te maken door aanvallers.

05-01-2009, 16:33 door Anoniem

Door Anoniem

Door AnoniemDus 14% van de certificaathouders zou kwaadwillende bedoelingen kunnen hebben en het probleem kunnen misbruiken via hun eigen certificaat?

Nee... maar de certificaten van die 14% zijn gemakkelijker na te maken door aanvallers.

Nope, je hebt het niet begrepen, en netcraft ook niet. Het aantal MD-5-signed certs doet helemaal niet ter zake. Het gaat erom dat er 1 CA is die aan enkele voorwaarden voldoet (voldeed, want ze hebben eea gefixed), waardor het mogelijk is (was, dus) om voor die CA (RapidSSL) een fake CA cert te maken. Met dit certificaat kunnen ALLE websites op het internet worden gefaked, omdat de browsers dit herkennen en als echt aanmerken. Dus niet 14%, maar 100% van alle sites is 'at risk'.

groeten!

05-01-2009, 17:51 door Anoniem

Door Anoniem

Door AnoniemDus 14% van de certificaathouders zou kwaadwillende bedoelingen kunnen hebben en het probleem kunnen misbruiken via hun eigen certificaat?

Nee... maar de certificaten van die 14% zijn gemakkelijker na te maken door aanvallers.

In het artikel staat:
- ... 14% of valid third party SSL certificates have been issued using MD5 signatures ...
- ... an algorithm that has recently been demonstrated to be vulnerable to attack by ...
- ... SHA1 is well established and is already in use for the majority of SSL certificate signing ...
- As such, there is no particular risk to existing SSL certificates signed with MD5, and they do not need to be replaced.

Anoniem kan je nog eens uitleggen hoe je er bij komt dat 100% van ALLE sites 'at risk' is?
Groeten!

05-01-2009, 23:44 door [Account Verwijderd]

[Verwijderd]

12-01-2009, 09:19 door Anoniem

"Veertien procent van alle SSL-certificaten op het web is gemaakt met het kwetsbare MD5-algoritme"

worden certificaten gemaakt met MD5? of SHA-1?
Of is dat nu de fingerprint?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer