"Mozilla en Microsoft moeten Comodo verwijderen"
De Iraanse Comodo-hacker heeft niet één, maar drie partners van de certificaatuitgever gehackt, waardoor er twijfels over de betrouwbaarheid van Comodo zijn. Onlangs werd bekend dat er via een gehackt partner-account negen SSL-certificaten voor Mozilla, Microsoft, Google, Skype en Yahoo! bij Comodo waren aangevraagd en uitgegeven. Hiermee is het mogelijk, bijvoorbeeld voor een inlichtingendienst of provider, om versleuteld verkeer af te luisteren. De aanval werd een paar dagen nadat Comodo die had toegelicht, door een 21-jarige Iraanse student genaamd "Janam Fadaye Rahbar" opgeëist.
In een nieuw bericht laat Rahbar weten dat hij bij drie Comodo resellers heeft ingebroken, en niet alleen het Italiaanse InstantSSL. De Italiaanse partner kreeg echter de voorkeur omdat het veel meer codes en domeinen had. "Ik dacht dat ze dichter bij Comodo stonden." De aanvallen op de andere twee partners hebben niet tot de uitgifte van valse SSL-certificaten geleid. Wel zijn van deze "registration authorities" de rechten ingetrokken.
Fouten
Op de mozilla-dev-security-policy mailinglist hebben verschillende professionals het helemaal gehad met Comodo, dat vaker bij incidenten betrokken is geraakt. "Comodo heeft verschillende kansen gehad om te laten zien dat ze wilden veranderen", zegt Paul van Brouwershaven van het Nederlandse Networking4All. "Ze hebben keer op keer laten zien dat ze niet de verantwoordelijkheid willen nemen die een CA hoort te hebben."
Volgens de Nederlander is het nu tijd dat Mozilla en Microsoft hun verantwoordelijkheid nemen door Comodo uit hun browsers te verwijderen. Daarbij pleit Van Brouwershaven ook voor een terugroepactie. "Klanten moeten hun geld terugkrijgen voor via Comodo gekochte certificaten en browserleveranciers zoals Mozilla moeten het product terugroepen."
Sinds het incident heeft Comodo beterschap beloofd, maar Van Browserhaven is niet overtuigd. "In het geval van Comodo hebben ze genoeg incidenten gehad om te bewijzen dat ze niet in staat zijn een fatsoenlijke CA te runnen en brengen de gehele internetgemeenschap in gevaar." Ook in 2008 gaf het bedrijf een vals certificaat voor Mozilla uit.
Waarom de BDienst daar geen certs van Diginotar of "De Staat der Nederlanden" voor gebruikt is me een raadsel, iemand?
Overigens is het risico voor gebruikers van addons.mozilla.org recentelijk toegenomen indien ze hun browser niet op verplicht checken van certificate revocation hebben ingesteld en de laatste patch niet hebben geinstalleerd, want de private key behorend bij het valse addons.mozilla.org certificaat ligt nu ook op straat (zie http://www.mail-archive.com/ubuntu-bugs@lists.ubuntu.com/msg2825436.html).
Wat een vaag verhaal
HR
Het lijkt er op dat de partners van Comodo het niet zo nou nemen.
Of Comodo hier zelf iets aan kan doen? Het lijkt me wel.
Partners uitkiezen die betrouwbaarder zijn, en eisen stellen aan de systemen die de partners gebruiken.
Als een partner van Comodo een vals certificaat uit geeft, deze direct terugtrekken, partnership afnemen en een check doen op de eerder door de partner uitgegeven certificaten.
Waarom de BDienst daar geen certs van Diginotar of "De Staat der Nederlanden" voor gebruikt is me een raadsel, iemand?
KNIP.
Omdat er onder "De Staat der Nederlanden" geen Code Signing certificaten uitgegeven worden (volgens mij). Alleen persoons- en servicescertficaten.
Maar Comodo staat al langer bekend dat ze het niet zo nauw nemen met de PKI-regels. Dat de BDienst het dan gebruikt is inderdaad minder. Verisign lijkt mij een betere keuze.
Waarom staat er nooit, 'doen er verstandig aan' of een wat meer vrijblijvende suggestie?
We moeten al zoveel dingen.
Waarom staat er nooit, 'doen er verstandig aan' of een wat meer vrijblijvende suggestie?
We moeten al zoveel dingen.
Er staat 'moeten', omdat anders naive en domme computergebruikers op een kopie van de site van hun bank alle vreemd uitziende formuliertjes gaan invullen, een lege bankrekening overhouden en het vingerwijzen begint. Dus 'moeten' is hier wel op zijn plaats, lijkt me.
Het woord 'moeten' wordt wel wat vaak gebruikt, dat ben ik met je eens. Voornamelijk door politici, overigens.
Wel gebruik ik firefox,vind ik gewoon prettiger werken dan ie.
Want voor firefox heb je meer plugins beschikbaar dan in ie,en de menu structuur van je faforieten vind ik binnen firefox fijner dan binnen ie.
Dat Comodo hun partners beter controleert lijkt me wel wenselijk, maar bij andere CA's zal er ook wel eea mis zijn. Je maakt mij niet wijs dat dit alleen bij Comodo kon gebeuren.
Dat Comodo hun partners beter controleert lijkt me wel wenselijk, maar bij andere CA's zal er ook wel eea mis zijn. Je maakt mij niet wijs dat dit alleen bij Comodo kon gebeuren.
Hier schrijft de CTO van Comodo wat ze ondertussen allemaal gedaan hebben:
https://groups.google.com/group/mozilla.dev.security.policy/msg/58aacd037258d3e4
Dat soort posts volgen geef meer duidelijkheid dan het gebrul van een "concurrent" met z'n jaarlijkse SSL promotie.
Wel gebruik ik firefox,vind ik gewoon prettiger werken dan ie.
Want voor firefox heb je meer plugins beschikbaar dan in ie,en de menu structuur van je faforieten vind ik binnen firefox fijner dan binnen ie.
Als je ergens geen verstand van hebt vraag het dan.
Comodo CA is certificaat autoriteit die zorg draagt voor de ondertekening en uitgifte van PKI (Publick Key infrastructure) certificaten, deze worden onder meer gebruikt om een verbinding te beveiligen en om de echtheid (authenticiteit ) van de uitgever te garanderen.
http://nl.wikipedia.org/wiki/Certificaatautoriteit
Comodo maakt ook software als: Firewall software, antispam oplossingen? en security audits.
Maar daar gaat het in dit artikel niet over.
Dit neemt overigens niet weg dat Comodo als de sodemieter z'n shit voor elkaar moet krijgen. Multi-factor authenticatie, meer controles inbouwen en automatiseren wat er te automatiseren valt om menselijke fouten te voorkomen. Misschien doen ze er ook verstandig aan om audits te laten uitvoeren en daar uitgebreide rapportages van uit te brengen om het vertrouwen te herstellen. Maargoed, dat moeten ze lekker zelf weten, ik gebruik toch VeriSign dus zit wel goed (hoop ik.. het is natuurlijk maar de vraag wat er allemaal de doofpot in is verdwenen).
Ik zou me overigens niet zo'n zorgen maken over de Comodo roots in je browser, ga eerst maar 's OCSP verplicht stellen. Dat is een veel ernstiger probleem.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
