Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
DigiNotar OCSP responses fout?
Momenteel zie ik DigiNotar foutieve OCSP responses geven als ik bijv. https://www.digid.nl, https://www.terneuzen.nl of https://secure.eindhoven.nl/ bezoek met Firefox (3.6.21). De reden daarvoor is dat ik Firefox zo heb ingesteld dat deze op OCSP moet checken (en stopt bij fouten).
Bij het bezoeken van bovengenoemde sites wordt er een OCSP request naar "validation.diginotar.nl" [143.177.3.45] gestuurd (de URL daarvoor staat in het certificaat dat de digid en terneuzen sites naar mijn webbrowser sturen). In het antwoord staat een timestamp die aangeeft wanneer dat antwoord is gegeneerd, en dat is structureel bijna 1 uur fout (de klok van mijn PC heb ik steeds correct geupdate via ntp):
Sep 3, 2011 23:26:49.799818000 request verzonden
Sep 3, 2011 23:26:50.056237000 response ontvangen
Response bevat: "producedAt: 2011-09-03 20:29:09 (UTC)"
Sep 3, 2011 23:55:32.217574000
Sep 3, 2011 23:55:32.409996000
Response bevat: "producedAt: 2011-09-03 20:57:51 (UTC)"
Daarnaast opende ik http://validation.diginotar.nl/ en kreeg op Sep 3, 2011 23:59:54.049186000 de volgende headers in het antwoord:
N.b. als ik OCSP checken uitzet in Firefox krijg ik geen foutmelding als ik de genoemde websites open, maar dat kan niet de bedoeling zijn...
Edit 00:30: diverse correcties. Waarom er lege regels in de grijze "code" sectie verschijnen is me een raadsel.
Bij het bezoeken van bovengenoemde sites wordt er een OCSP request naar "validation.diginotar.nl" [143.177.3.45] gestuurd (de URL daarvoor staat in het certificaat dat de digid en terneuzen sites naar mijn webbrowser sturen). In het antwoord staat een timestamp die aangeeft wanneer dat antwoord is gegeneerd, en dat is structureel bijna 1 uur fout (de klok van mijn PC heb ik steeds correct geupdate via ntp):
Sep 3, 2011 23:26:49.799818000 request verzonden
Sep 3, 2011 23:26:50.056237000 response ontvangen
Response bevat: "producedAt: 2011-09-03 20:29:09 (UTC)"
Sep 3, 2011 23:55:32.217574000
Sep 3, 2011 23:55:32.409996000
Response bevat: "producedAt: 2011-09-03 20:57:51 (UTC)"
Daarnaast opende ik http://validation.diginotar.nl/ en kreeg op Sep 3, 2011 23:59:54.049186000 de volgende headers in het antwoord:
HTTP/1.1 200 OK
Date: Sat, 03 Sep 2011 21:02:13 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
X-AspNet-Version: 2.0.50727
Cache-Control: private
Content-Type: text/html; charset=utf-8
Content-Length: 893
Set-Cookie: Coyote-2-a0a1414=a0a5015:0; path=/
Kortom, de klok lijkt daar niet goed meer te lopen. Dit heeft consequenties voor websites waarbij van een wel vertrouwde root CA (Staat der Nederlanden root certificaat) gebruik gemaakt wordt!Date: Sat, 03 Sep 2011 21:02:13 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
X-AspNet-Version: 2.0.50727
Cache-Control: private
Content-Type: text/html; charset=utf-8
Content-Length: 893
Set-Cookie: Coyote-2-a0a1414=a0a5015:0; path=/
N.b. als ik OCSP checken uitzet in Firefox krijg ik geen foutmelding als ik de genoemde websites open, maar dat kan niet de bedoeling zijn...
Edit 00:30: diverse correcties. Waarom er lege regels in de grijze "code" sectie verschijnen is me een raadsel.
Reacties (11)
Werkt ook zo met Firefox 6.0/6.01.
Wat verder opvalt is dat dat de web site niet gehardend is. De ASP.NET versie moet je niet meesturen.
Wat verder opvalt is dat dat de web site niet gehardend is. De ASP.NET versie moet je niet meesturen.
De paar minuten afwijking (die ze voorlopen) is vragen om problemen ja, maar voor de rest is het gewoon de standaard GMT+2 delta die je ziet.
Dat van die klok via http controleren noem ik niet betrouwbaar: wie zegt dat die http server dezelfde is als de voor de oscp... Als ze het op dezelfde machine hebben staan is dat weinig veilig.
04-09-2011, 12:42 door
Bitwiper
Net nog even gecheckt: (data uit Wireshark terwijl ik met Firefox met OCSP checking aan https://www.digid.nl/ open):
Sep 4, 2011 12:37:54.992436000 request verzonden
Sep 4, 2011 12:37:55.189072000 response ontvangen
Response bevat: "producedAt: 2011-09-04 09:40:14 (UTC)"
09:40:14 UTC is 11:40:14 Nederlandse tijd, dus bijna 1 uur fout.
Sep 4, 2011 12:37:54.992436000 request verzonden
Sep 4, 2011 12:37:55.189072000 response ontvangen
Response bevat: "producedAt: 2011-09-04 09:40:14 (UTC)"
09:40:14 UTC is 11:40:14 Nederlandse tijd, dus bijna 1 uur fout.
04-09-2011, 15:07 door
Unit 10 Forensics
@Bitwiper de Minister heeft aangegeven dat je geen gebruik meer moet maken van DigiNotar gerelateerde websites, ik zie al dagen de meest vreemde acties na een challenge. M.a.w. ik denk dat de webomgeving al in staat van ontbinding verkeerd, waarom deze nog steeds niet op zwart is gegaan is mij voorlopig nog een raadsel. Hopelijk wordt de komende 48 uur duidelijk waarom DigiNotar nog nergens op heeft gereageerd....
04-09-2011, 16:27 door
Bitwiper
Dank voor de reacties!
(1) De suggestie wordt steeds gewekt dat je een website NIET moet bezoeken als je een waarschuwing ziet. Dit is crap omdat veel webbrowsers (afhankelijk van versie, instellingen en laatste update) geen waarschuwing geven als een website wordt bezocht die van een DigiNotar certificaat gebruik maakt. E.e.a. is natuulijk niet alleen de schuld van de minister, maar van de crappy manier waarop webbrowsers met revocation omgaan.
(2) Update je webbrowser! Als je dat niet doet is de kans nog veen groter dat je geen foutmelding krijgt terwijl dat wel zou moeten, nl. omdat er een (intermediate) certificaat van DigiNotar in het spel is!
Bovendien, hoe weet je -als leek- dat een website van een DigiNotar certificaat gebruik maakt?
Zie ook http://www.security.nl/artikel/38352/1/Uitleg_DigiNotar_problematiek.html.
Door Unit10:
@Bitwiper de Minister heeft aangegeven dat je geen gebruik meer moet maken van DigiNotar gerelateerde websites, ik zie al dagen de meest vreemde acties na een challenge. M.a.w. ik denk dat de webomgeving al in staat van ontbinding verkeerd, waarom deze nog steeds niet op zwart is gegaan is mij voorlopig nog een raadsel. Hopelijk wordt de komende 48 uur duidelijk waarom DigiNotar nog nergens op heeft gereageerd....
Ik heb gisteren de minister 2 belangrijke zaken NIET horen noemen (en ook op het journaal en in gepubliceerde toelichtingen wordt dit niet duidelijk):@Bitwiper de Minister heeft aangegeven dat je geen gebruik meer moet maken van DigiNotar gerelateerde websites, ik zie al dagen de meest vreemde acties na een challenge. M.a.w. ik denk dat de webomgeving al in staat van ontbinding verkeerd, waarom deze nog steeds niet op zwart is gegaan is mij voorlopig nog een raadsel. Hopelijk wordt de komende 48 uur duidelijk waarom DigiNotar nog nergens op heeft gereageerd....
(1) De suggestie wordt steeds gewekt dat je een website NIET moet bezoeken als je een waarschuwing ziet. Dit is crap omdat veel webbrowsers (afhankelijk van versie, instellingen en laatste update) geen waarschuwing geven als een website wordt bezocht die van een DigiNotar certificaat gebruik maakt. E.e.a. is natuulijk niet alleen de schuld van de minister, maar van de crappy manier waarop webbrowsers met revocation omgaan.
(2) Update je webbrowser! Als je dat niet doet is de kans nog veen groter dat je geen foutmelding krijgt terwijl dat wel zou moeten, nl. omdat er een (intermediate) certificaat van DigiNotar in het spel is!
Bovendien, hoe weet je -als leek- dat een website van een DigiNotar certificaat gebruik maakt?
Zie ook http://www.security.nl/artikel/38352/1/Uitleg_DigiNotar_problematiek.html.
04-09-2011, 19:11 door
Bitwiper
Het probleem lijkt ondertussen te zijn opgelost, als ik bijv. naar https://www.terneuzen.nl/ ga krijg ik geen waarschuwing meer:
Sep 4, 2011 19:02:45.204723000 request verzonden
Sep 4, 2011 19:02:45.397569000 response ontvangen
Response bevat: "producedAt: 2011-09-04 17:02:45 (UTC)"
N.b. de certificaat hiërachie voor https://www.terneuzen.nl/ is:
Voor uitleg zie http://www.security.nl/artikel/38352/1/Uitleg_DigiNotar_problematiek.html.
Sep 4, 2011 19:02:45.204723000 request verzonden
Sep 4, 2011 19:02:45.397569000 response ontvangen
Response bevat: "producedAt: 2011-09-04 17:02:45 (UTC)"
N.b. de certificaat hiërachie voor https://www.terneuzen.nl/ is:
(A) Staat der Nederlanden Root CA
- Issuer: Staat der Nederlanden Root CA (dit is een "self-signed" certificate)
- OCSP: geen
- CRL: geen
(B) Staat der Nederlanden Overheid CA
- Issuer: Staat der Nederlanden Root CA
- OCSP: geen
- CRL: http://crl.pkioverheid.nl/LatestCRL.crl
(C) DigiNotar PKIoverheid CA Overheid en Bedrijven
- Issuer: Staat der Nederlanden Overheid CA
- Serienummer: 0x013169B0
- OCSP: geen
- CRL: http://crl.pkioverheid.nl/DomOvLatestCRL.crl (0x013169B0 is NIET ingetrokken)
(D) www.terneuzen.nl
- Issuer: DigiNotar PKIoverheid CA Overheid en Bedrijven
- Serienummer: 08:F6:24:95:1A:A8:58:9F:8D:79:02:23:54:11:19:55
- OCSP: http://validation.diginotar.nl
- CRL: http://service.diginotar.nl/crl/PKIOverheidenBedrijven/latestCRL.crl
- Issuer: Staat der Nederlanden Root CA (dit is een "self-signed" certificate)
- OCSP: geen
- CRL: geen
(B) Staat der Nederlanden Overheid CA
- Issuer: Staat der Nederlanden Root CA
- OCSP: geen
- CRL: http://crl.pkioverheid.nl/LatestCRL.crl
(C) DigiNotar PKIoverheid CA Overheid en Bedrijven
- Issuer: Staat der Nederlanden Overheid CA
- Serienummer: 0x013169B0
- OCSP: geen
- CRL: http://crl.pkioverheid.nl/DomOvLatestCRL.crl (0x013169B0 is NIET ingetrokken)
(D) www.terneuzen.nl
- Issuer: DigiNotar PKIoverheid CA Overheid en Bedrijven
- Serienummer: 08:F6:24:95:1A:A8:58:9F:8D:79:02:23:54:11:19:55
- OCSP: http://validation.diginotar.nl
- CRL: http://service.diginotar.nl/crl/PKIOverheidenBedrijven/latestCRL.crl
Voor uitleg zie http://www.security.nl/artikel/38352/1/Uitleg_DigiNotar_problematiek.html.
Door Bitwiper: De suggestie wordt steeds gewekt dat je een website NIET moet bezoeken als je een waarschuwing ziet. Dit is crap omdat veel webbrowsers (afhankelijk van versie, instellingen en laatste update) geen waarschuwing geven als een website wordt bezocht die van een DigiNotar certificaat gebruik maakt.
Geheel terecht, dat de minister het advies geeft om bij een waarschuwing een website maar niet te bezoeken. Het gaat om risico nemen en een up-to-date browser geeft niet voor niets een waarschuwing aan de gebruiker die het meestal toch niet snapt. Als je het een verkeerd advies vind dan kunnen we net zo goed het 'let op het slotje' de prullenbak in gooien en iedere gebruiker maar van het internet weren. We moeten ergens beginnen om dummies wijs te maken. Had de minister er nog wat bij moeten zeggen? Ja, punt 2 - update je software - dus je browser. Maar dat is iets wat je eigenlijk al moet doen en dan zijn er nog wel een berg andere opmerkingen te noemen die de minister had kunnen zeggen. Maar het gaat hier om welk risico je neemt rond het vertrouwen van DigiNotar. En daar is goed op ingegaan.
05-09-2011, 21:07 door
Bitwiper
Door Anoniem:
Geheel mee eens! Ik heb het niet duidelijk geschreven. Wat ik bedoelde was dat "de suggestie steeds gewekt wordt dat je een website slechts dan NIET moet bezoeken als je een waarschuwing ziet, en dat het veilig is als je geen waarschuwing ziet" (vertel dat maar aan mogelijke getroffen Iraniërs met een andere webrowser dan Chrome). Door Bitwiper: De suggestie wordt steeds gewekt dat je een website NIET moet bezoeken als je een waarschuwing ziet. Dit is crap omdat veel webbrowsers (afhankelijk van versie, instellingen en laatste update) geen waarschuwing geven als een website wordt bezocht die van een DigiNotar certificaat gebruik maakt.
Geheel terecht, dat de minister het advies geeft om bij een waarschuwing een website maar niet te bezoeken. Het gaat om risico nemen en een up-to-date browser geeft niet voor niets een waarschuwing aan de gebruiker die het meestal toch niet snapt.
Het probleem is dat, ook vandaag nog, heel veel up-to-date webbrowsers nog helemaal geen waarschuwing geven bij het bezoeken van een website die gebruik maakt van een (intermediate) DigiNotar certificaat. Voorbeelden: https://beeldbank.rws.nl/ en https://formulieren.provinciegroningen.nl/.Zowieso is OSCP een protocol van niets. moxie marlinspike heeft hier veel over geschreven en op Blackhat conferenties over gesproken. Komt neer dat je die requests kunt onderscheppen en kan sturen "temporarily not available" waarna practisch alle browsers hier geen melding van maken.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
