Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Iran Google MITM Diginotar cert?
In http://www.nu.nl/internet/2601887/iraanse-regering-tapt-gmail-af.html meldt Brenno de Winter onder meer:
Ik vraag me sterk af of de Iraanse overheid hier achter zit (is wel erg knullig zo). Gezien het feit dat in het Google forum gemeld wordt dat het maar 1 uur per dag is of zo lijkt dit meer op een DNS aanval met het doel Gmail accounts te kapen.
Het certificaat is nu in elk geval ongeldig, want als ik het upload naar https://ocspclient.diginotar.nl/ (die URL is samen met aanwijzingen te vinden in http://www.diginotar.nl/Klantenservice/Certificaten/Valideren/tabid/296/Default.aspx) dan meldt Diginotar: Certificaat ingetrokken.
Dat vind ik een vreemde melding. Ofwel er zijn ook bij Diginotar certificaten "buitgemaakt" (zoals eerder bij Comodo), ofwel Digonotar heeft daadwerkelijk zo'n certificaat uitgegeven en "spijt gekregen", ofwel de ocspclient geeft ook de melding "Certificaat ingetrokken" indien een spoofed certificate wordt aangeboden dat nooit door Diginotar is ondertekend. Weet iemand meer hierover?
'Iraanse regering tapt Gmail af'
Laatste update: 29 augustus 2011 21:13 info
AMSTERDAM – De Iraanse regering zou het verkeer van Gmail aftappen. Dat doet het door tussen de maildienst van Google en de gebruiker te zitten.
Om dit te bereiken wordt de Nederlandse leverancier van waarmerken Diginotar misbruikt.
[...]
De melding lijkt te komen vanaf http://www.google.co.uk/support/forum/p/gmail/thread?tid=2da6158b094b225a&hl=en, en het certificaat is te vinden op http://pastebin.com/ff7Yg663.Laatste update: 29 augustus 2011 21:13 info
AMSTERDAM – De Iraanse regering zou het verkeer van Gmail aftappen. Dat doet het door tussen de maildienst van Google en de gebruiker te zitten.
Om dit te bereiken wordt de Nederlandse leverancier van waarmerken Diginotar misbruikt.
[...]
Ik vraag me sterk af of de Iraanse overheid hier achter zit (is wel erg knullig zo). Gezien het feit dat in het Google forum gemeld wordt dat het maar 1 uur per dag is of zo lijkt dit meer op een DNS aanval met het doel Gmail accounts te kapen.
Het certificaat is nu in elk geval ongeldig, want als ik het upload naar https://ocspclient.diginotar.nl/ (die URL is samen met aanwijzingen te vinden in http://www.diginotar.nl/Klantenservice/Certificaten/Valideren/tabid/296/Default.aspx) dan meldt Diginotar: Certificaat ingetrokken.
Dat vind ik een vreemde melding. Ofwel er zijn ook bij Diginotar certificaten "buitgemaakt" (zoals eerder bij Comodo), ofwel Digonotar heeft daadwerkelijk zo'n certificaat uitgegeven en "spijt gekregen", ofwel de ocspclient geeft ook de melding "Certificaat ingetrokken" indien een spoofed certificate wordt aangeboden dat nooit door Diginotar is ondertekend. Weet iemand meer hierover?
Reacties (8)
29-08-2011, 23:20 door
Bitwiper
Hmm, ik heb http://service.diginotar.nl/crl/public2025/latestCRL.crl gedownload, daarin staat onder meer (d.w.z. in de uitvoer van openssl crl -text -inform DER -in latestCRL.crl ):
Toelichting voor degenen die niet snappen waar ik het over heb: een CRL is een Certificate Revocation List. Het serienummer dat in de CRL staat die ik gedownload heb, komt overeen met het serienummer van het getoonde certificaat in http://pastebin.com/ff7Yg663.
Ik ben nu wel heel benieuwd wat hier aan de hand is (geweest)...
Aanvulling 20110829 23:48: iemand anders heeft vergelijkbare checks uitgevoerd, zie http://pastebin.com/SwCZqskV (bron: http://identi.ca/notice/82001008)
Aanvulling 20110830 00:04: zie ook http://news.ycombinator.com/item?id=2938516, https://bugzilla.mozilla.org/show_bug.cgi?id=682956 en https://bugzilla.mozilla.org/show_bug.cgi?id=681902#c6 "the current DigiNotar incident".
Aanvuling 20110830 00:38: Mozilla gaaat nieuwe Firefox versies uitrollen vanwege dit incident, zie http://blog.mozilla.com/security/2011/08/29/fraudulent-google-com-certificate/
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: /C=NL/O=DigiNotar/CN=DigiNotar Public CA 2025/emailAddress=info@diginotar.nl
Last Update: Aug 29 16:59:41 2011 GMT
Next Update: Sep 1 12:30:00 2011 GMT
CRL extensions:
X509v3 Authority Key Identifier:
keyid:DF:33:C0:AF:92:FE:37:FC:B6:D8:16:16:D0:D9:B1:91:D5:FA:6E:A5
X509v3 CRL Number:
95226
Revoked Certificates:
[...]
Serial Number: 05E2E6A4CD09EA54D665B075FE22A256
Revocation Date: Aug 29 16:59:03 2011 GMT
CRL entry extensions:
Invalidity Date:
Aug 29 16:58:47 2011 GMT
[...]
Dat betekent, voor zover ik het overzie, dat Diginotar dit certificaat wel degelijk ondertekend heeft en het vandaag net voor 19:00 (zomertijd) heeft ingetrokken...Version 2 (0x1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: /C=NL/O=DigiNotar/CN=DigiNotar Public CA 2025/emailAddress=info@diginotar.nl
Last Update: Aug 29 16:59:41 2011 GMT
Next Update: Sep 1 12:30:00 2011 GMT
CRL extensions:
X509v3 Authority Key Identifier:
keyid:DF:33:C0:AF:92:FE:37:FC:B6:D8:16:16:D0:D9:B1:91:D5:FA:6E:A5
X509v3 CRL Number:
95226
Revoked Certificates:
[...]
Serial Number: 05E2E6A4CD09EA54D665B075FE22A256
Revocation Date: Aug 29 16:59:03 2011 GMT
CRL entry extensions:
Invalidity Date:
Aug 29 16:58:47 2011 GMT
[...]
Toelichting voor degenen die niet snappen waar ik het over heb: een CRL is een Certificate Revocation List. Het serienummer dat in de CRL staat die ik gedownload heb, komt overeen met het serienummer van het getoonde certificaat in http://pastebin.com/ff7Yg663.
Ik ben nu wel heel benieuwd wat hier aan de hand is (geweest)...
Aanvulling 20110829 23:48: iemand anders heeft vergelijkbare checks uitgevoerd, zie http://pastebin.com/SwCZqskV (bron: http://identi.ca/notice/82001008)
Aanvulling 20110830 00:04: zie ook http://news.ycombinator.com/item?id=2938516, https://bugzilla.mozilla.org/show_bug.cgi?id=682956 en https://bugzilla.mozilla.org/show_bug.cgi?id=681902#c6 "the current DigiNotar incident".
Aanvuling 20110830 00:38: Mozilla gaaat nieuwe Firefox versies uitrollen vanwege dit incident, zie http://blog.mozilla.com/security/2011/08/29/fraudulent-google-com-certificate/
CA voor Dummies vraag: waarom nemen we aan dat het certificaat niet van Google is en dat diginotar hier fout zit????
Serieus: stel ik kopieer anoniem certificaatinfo naar pastbin, roep dat het fake is en er in land x met weinig burgerrechten doden door vallen, zeg dat een CA schuldig is aan dood van onschuldigen, halve wereld neemt het oh-ah-schande berichtje over, CA trekt t uit voorzorg in, nog meer internetters roepen oh-ah-zie-je-wel-CA-zat-fout en CA zit vervolgens met gebakken peren.
Zou het net zo goed niet kunnen zijn dat iemand hier de CA een hak probeert te zetten, of een overheid waar Diginotar wel eens voor werkt.....
Geen jandoedel die iets van CA weet lijkt hier antwoord op te geven, vragen vanuit dummie gepeupel over wat is hier waar komen er natuurlijk ook niet want die snappen al helemaal niets van certificaten.
Serieus: stel ik kopieer anoniem certificaatinfo naar pastbin, roep dat het fake is en er in land x met weinig burgerrechten doden door vallen, zeg dat een CA schuldig is aan dood van onschuldigen, halve wereld neemt het oh-ah-schande berichtje over, CA trekt t uit voorzorg in, nog meer internetters roepen oh-ah-zie-je-wel-CA-zat-fout en CA zit vervolgens met gebakken peren.
Zou het net zo goed niet kunnen zijn dat iemand hier de CA een hak probeert te zetten, of een overheid waar Diginotar wel eens voor werkt.....
Geen jandoedel die iets van CA weet lijkt hier antwoord op te geven, vragen vanuit dummie gepeupel over wat is hier waar komen er natuurlijk ook niet want die snappen al helemaal niets van certificaten.
Lekker bruut (doch terecht) om de hele diginotar root te verwijderen uit de browsers. Dat gaat nog wel wat issues geven in NL..
Lijkt er sterk op dat Diginotar fout ziet, en ze moeten dan ook van de markt afgetrapt worden.
30-08-2011, 11:11 door
Night
Door Anoniem: Lekker bruut (doch terecht) om de hele diginotar root te verwijderen uit de browsers. Dat gaat nog wel wat issues geven in NL..
idd bruut en lastig voor NL maar bij een CA gaat het om vertrouwen en dat lijkt me hier wel geschaad.
Het ziet er voorlopig toch naar uit dat er een *.google.com certificaat is uitgeven door diginotar terwijl de identiteit van de aanvrager niet klopte.
En hoewel natuurlijk alles goed gecontroleerd moet worden: bij dergelijke domeinnamen is een hoge zorgvuldigheid toch wel op zijn plaats.
Vertrouwen weg -> CA uit de browsers.
Vertrouwen weg -> CA uit de browsers.
Hoe is het met Comodo als trusted CA dan?
Door Anoniem: CA voor Dummies vraag: waarom nemen we aan dat het certificaat niet van Google is en dat diginotar hier fout zit????
Serieus: stel ik kopieer anoniem certificaatinfo naar pastbin, roep dat het fake is en er in land x met weinig burgerrechten doden door vallen, zeg dat een CA schuldig is aan dood van onschuldigen, halve wereld neemt het oh-ah-schande berichtje over, CA trekt t uit voorzorg in, nog meer internetters roepen oh-ah-zie-je-wel-CA-zat-fout en CA zit vervolgens met gebakken peren.
Zou het net zo goed niet kunnen zijn dat iemand hier de CA een hak probeert te zetten, of een overheid waar Diginotar wel eens voor werkt.....
Geen jandoedel die iets van CA weet lijkt hier antwoord op te geven, vragen vanuit dummie gepeupel over wat is hier waar komen er natuurlijk ook niet want die snappen al helemaal niets van certificaten.
Serieus: stel ik kopieer anoniem certificaatinfo naar pastbin, roep dat het fake is en er in land x met weinig burgerrechten doden door vallen, zeg dat een CA schuldig is aan dood van onschuldigen, halve wereld neemt het oh-ah-schande berichtje over, CA trekt t uit voorzorg in, nog meer internetters roepen oh-ah-zie-je-wel-CA-zat-fout en CA zit vervolgens met gebakken peren.
Zou het net zo goed niet kunnen zijn dat iemand hier de CA een hak probeert te zetten, of een overheid waar Diginotar wel eens voor werkt.....
Geen jandoedel die iets van CA weet lijkt hier antwoord op te geven, vragen vanuit dummie gepeupel over wat is hier waar komen er natuurlijk ook niet want die snappen al helemaal niets van certificaten.
Je kan toch checken of het bewuste certificaat inderdaad door Diginotar is gesigned?
30-08-2011, 22:46 door
Bitwiper
Door Anoniem:
Da's niet zo simpel als het lijkt.Door Anoniem: CA voor Dummies vraag: waarom nemen we aan dat het certificaat niet van Google is en dat diginotar hier fout zit????
Je kan toch checken of het bewuste certificaat inderdaad door Diginotar is gesigned?In de link die ik eerder aangaf (http://pastebin.com/SwCZqskV) is dat gebeurd, maar zelf heb ik het gisteravond niet gecontroleerd. Zojuist heb ik dat wel gedaan, en dat kan met "boordmiddelen" (dus zonder openssl.exe of andere commandline tools):
(1) Kopieer vanuit "RAW Paste Data" in http://pastebin.com/ff7Yg663 het stuk dat begint met -----BEGIN CERTIFICATE----- en eindigt met -----END CERTIFICATE----- (inclusief die beide regels) naar het clipboard (klembord). Dit is het gewraakte certificaat, waarvan we gaan checken of het daadwerkelijk door DigiNotar is ondertekend.
(2) Open notepad (kladblok), plak het stuk tekst, geef onderaan een extra enter (extra lege regels maken niet uit), en sla het op als "badcert.cer" bijv. op je bureaublad (wijzig vóór opslaan het bestandstype in "All files", anders wordt de bestandsnaam badcert.cer.txt).
(3) Als ik deze file open (dubbel-klikken) zie ik in de geopende dialoogbox van m'n (Engelstalige) XP: "Windows does not have enough information to verify this certificate". Oorzaak: er ontbreekt een intermediate certificaat.
(4) Open http://www.diginotar.nl/Klantenservice/Rootcertificaten/tabid/308/Default.aspx en download "DigiNotar Public CA 2025" (http://www.diginotar.nl/LinkClick.aspx?fileticket=lSCwDq6q038%3d&tabid=308) en sla het bestand "DigiNotar_Public_CA_2025.cer" op.
(5) Start Internet Explorer, ga naar menu "Tools" -> "Internet Options", open tabblad "Content", klik button "Certificates". Open de tab "Intermediate Certification Authorities" en klik op de button "Import...". In de wizard open je "DigiNotar_Public_CA_2025.cer", en in de volgende box verander je niks, zodat het certificaat in "Intermediate Certification Authorities" terechtkomt. Hierna zie ik het intermediate DigiNotar certificaat in de lijst staan.
(6) Als ik nu opnieuw dubbelklik op "badcert.cer" vertelt XP me dat dit certificaat helemaal in orde is. N.b. dit gebeurt zelfs als ik in MSIE8 Advanced Settings, onder Security, een vinkje heb staan voor "Check for server certificate revocation" (kennelijk vindt die check alleen plaats als er daarwerkelijk een verbinding wordt opgebouwd en niet als "slechts" een certificaat bekeken wordt).
(7) Vergeet niet het intermediate certificaat weer te verwijderen!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
