Nieuws
image

Hacker onthult toekomst van SSL-certificaten

dinsdag 6 september 2011, 10:31 door Redactie, 13 reacties

De uitgevers van SSL-certificaten zijn niet meer te vertrouwen, daarom is het tijd voor een nieuw systeem. Dat stelt beveiligingsonderzoeker Moxie Marlinspike, die het afgelopen jaar niet alleen meerdere malen de problemen in het huidige systeem benadrukte, hij heeft naar eigen zeggen ook de oplossing. Het probleem met Certificate Authorities (CA) is dat er teveel zijn. Naar schatting zijn er 650 bedrijven die SSL-certificaten kunnen uitgeven.

Daarnaast is volgens Marlinspike geen enkele CA te vertrouwen. "Ze hebben allemaal een verleden", aldus de onderzoeker. Het gaat dan onder andere om samenwerking met overheidsinstanties. Het grootste probleem dat op het moment speelt noemt de hacker "trust agility". Als gebruiker kun je wel besluiten om bepaalde Certificate Authorities niet meer te vertrouwen en ze uit je browser verwijderen, maar dan zullen veel websites niet meer werken.

Om "trust agility" mogelijk te maken zijn er twee zaken nodig. Ten eerste moet het vertrouwen in een partij snel kunnen worden opgezegd. Daarnaast moet de gebruiker kunnen bepalen wie hij vertrouwt. "Zonder trust agility is er geen toekomst."

Convergence
Als oplossing bedacht Marlinspike de Convergence plugin voor Firefox. Zelf noemt hij het een "veilige vervanging" voor het Certificate Authority Systeem. In plaats van een vaste lijst met CA's te gebruiken, laat Convergence de gebruiker een dynamische lijst van notarissen samenstellen, die "network perspective" gebruiken om de communicatie te valideren.

Tijdens de eerste keer dat de gebruiker een met SSL-beveiligde website bezoekt, controleert de 'notaris' de authenticiteit van het SSL-certificaat. De certificaten worden lokaal door de browser opgeslagen en bij volgende bezoeken gecontroleerd. Zolang de certificaten overeenkomen, is er geen noodzaak om de notaris te benaderen. Daarnaast beschikt Convergence ook over een speciale modus om het IP-adres van de gebruiker af te schermen als die met de notaris communiceert. "Zodat je nooit je surfgeschiedenis aan iemand lekt."

Het systeem werkt probleemloos met al bestaande SSL-certificaten en vereist ook geen enkele actie van webmasters of netwerkbeheerders. "Installeer de Firefox add-on, kies wie je vertrouwt en je bent voor altijd klaar met Certificate Authorities."

Reacties (13)
06-09-2011, 10:44 door Anoniem
Als geen enkele CA te vertrouwen is, worden we zelf maar onze eigen CA? Zijn wij beter dan de "grote" CA's in staat om vast te stellen welk certificaat echt is en welk niet?

Ach ja. De track record van de "grote CA's" is wel duidelijk. Die van ons moet nog blijken. Ik geef het het voordeel van de twijfel en ga de plugin privé installeren. Voor ik het zakelijk adviseer moet er eerst nog wat trust worden opgebouwd!
06-09-2011, 11:29 door Anoniem
Klinkt als ..... PGP?
06-09-2011, 11:32 door Anoniem
En wat als je een certificaat installeert die faulty is, dan moet je daarna alsnog uitzoeken welke wel of niet te vertrouwen is.
Je moet wel ergens een bevestiging kunnen halen lijkt mij.
06-09-2011, 11:50 door Anoniem
Leuk idee. En toch faalt het. Het vereist gebruikersinteractie, is browserspecifiek, ziet er niet open-source uit, en de single point of failure verplaats je in dit geval in de manier van 'distributie' van trust.

Er is een oplossing in de maak bij de IETF die al wat langere voorbereidingstijd heeft. Die heet DANE en is ingebouwd in DNSSEC. En, voorspelbaar: de grote CA's zijn ertegen.
06-09-2011, 11:56 door musiman
Ik heb de add-on geinstalleerd maar vind het tot zover niet echt gebruiksvriendelijk. Heb nu problemen met: gmail, twitter, bedrijfswebmail etc.
Gelukkig is dit mijn test laptop :)
06-09-2011, 12:06 door lucb1e
Ik denk niet dat dit te toekomst is. Gebruikers willen dat "het ding gewoon werkt" (de computer met alle toepassingen dus), ze gaan geen eigen lijsten samenstellen. Misschien is dit iets voor de fabrikant om te doen, maar dan heb je weer hetzelfde als met het huidige systeem.
06-09-2011, 13:37 door Anoniem
Door Anoniem: Leuk idee. En toch faalt het. Het vereist gebruikersinteractie, is browserspecifiek, ziet er niet open-source uit, en de single point of failure verplaats je in dit geval in de manier van 'distributie' van trust.

Er is een oplossing in de maak bij de IETF die al wat langere voorbereidingstijd heeft. Die heet DANE en is ingebouwd in DNSSEC. En, voorspelbaar: de grote CA's zijn ertegen.
En wie is dan de root? ICANN? Ook een lekker betrouwbare organisatie is deze gebleken.
06-09-2011, 13:55 door SirDice
Tijdens de eerste keer dat de gebruiker een met SSL-beveiligde website bezoekt, controleert de 'notaris' de authenticiteit van het SSL-certificaat.
Wat is hier nou zo anders aan dan? Vervang 'notaris' voor Diginotar en je hebt exact hetzelfde systeem als we al hadden.
06-09-2011, 14:02 door d4mn
Ben benieuwd, zoals de "nieuwe manier" hierboven beschreven staat betwijfel ik of dit zal werken. Maar dit is vast niet het hele verhaal en als er niet eens wordt gefantaseerd over een nieuwe manier van werken komen we nooit van de huidige CA's af. Dan kan ik het alleen maar weer toejuichen. Mits de onderzoekers/developers integer zijn, wat je ook weer niet weet. Zucht ... zie de toekomst sombertjes in voor digibeten.
06-09-2011, 14:24 door dutchfish
Dit is slechts een eerste stap.

Goed artikel.

Volgende stap anonymous identity voor root CA's.

Chears
06-09-2011, 14:35 door Bert de Beveiliger
Ik heb geen idee of de tool wat is... mijn firefox crasht werkelijk snoeihard.
Gelukkig heb ik Perspectives.
07-09-2011, 16:20 door Anoniem
www.mywot.com/
08-09-2011, 14:19 door wizzkizz
Door AlexK: Ik heb geen idee of de tool wat is... mijn firefox crasht werkelijk snoeihard.
Gelukkig heb ik Perspectives.
Iedereen die de presentatie bekijkt (http://www.youtube.com/watch?v=Z7Wl2FW2TcA, heel duidelijk en voorstel Convergence vanaf 35:35) of de site bezoekt (http://convergence.io/) ziet dat dit voortborduurt op Perspectives.

Het hele idee is veelbelovend en vereist geen interactiviteit met de gebruiker (er staat standaard een aantal notaries in), toch geeft het de gebruiker alle vrijheid om notaries toe te voegen/verwijderen. Ik gebruik het nu (werkt prima in mijn firefox, versie 6.0.2), maar wil het systeem echt aanslaan dan is het nodig dat het 'native' in de grote browsers wordt ingebakken. Voordat het zover is, zullen de CA's behoorlijk aan het steigeren zijn geweest.

Door Anoniem: Leuk idee. En toch faalt het. Het vereist gebruikersinteractie, is browserspecifiek, ziet er niet open-source uit, en de single point of failure verplaats je in dit geval in de manier van 'distributie' van trust.

Er is een oplossing in de maak bij de IETF die al wat langere voorbereidingstijd heeft. Die heet DANE en is ingebouwd in DNSSEC. En, voorspelbaar: de grote CA's zijn ertegen.
Het vereist géén gebruikersinteractie, kent geen sinle-point-of-failure en is open-source (https://github.com/moxie0/Convergence/). Je hebt gelijk dat er momenteel alleen nog maar een Firefox plugin is, maar het principe en systeem is door alle browsers toe te passen.

DANE kan gebruikt worden in combinatie met Convergence, je kunt prima een notaris opzetten die het certificaat controleert middels DNSSEC. Dat geeft hij ook aan in zijn presentatie, vanaf minuut 42:37. Waarom alleen DNSSEC geen goed idee is, beargumenteert hij vanaf minuut 29:36.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search