Linux minder last van DigiNotar-certificaten
Linux-systemen zullen waarschijnlijk minder last hebben van het intrekken van DigiNotar-certificaten dan Windows, aldus een factsheet van GovCERT. Microsoft zal morgen een update voor de “Certificate Store” uitbrengen. Daarin staan zowel vertrouwde als niet-vertrouwde certificaten. Naast Browsers kunnen ook andere applicaties hier gebruik van maken.
Binnen de Certificate Store zijn verschillende lijsten met certificaten aanwezig. De root Certificate Authorities (CA’s) zijn opgeslagen in de lijst met “Trusted Root Certification Authorities”. In deze lijst zijn onder meer de Diginotar root CA en de Staat der Nederlanden root CA’s aanwezig. Het Diginotar root CA is door Microsoft uit deze lijst verwijderd.
Linux
Bij Linux wordt een decentrale aanpak gehanteerd, aangezien een eenduidig mechanisme ontbreekt. Daarnaast is de toepassing van identieke pakketten op verschillende Linux-versies uiteenlopend. Het certificatenbeheer is hierdoor veelal applicatiespecifiek. Debian levert bijvoorbeeld met het ca-certificates package een lijst met vertrouwde root certificaten mee, waar het DigiNotar root certificaat binnenkort uit verwijderd zal worden.
Aangezien ca-certificates alleen root certificaten bevat, heeft dit géén consequenties voor DigiNotar PKIoverheid-certificaten. Ca-certificates is overigens ook beschikbaar voor andere distributies zoals Ubuntu en CentOS.
Roll-back
GovCERT waarschuwt dat door het verschil in aanpak de potentiële impact ook divers is. "Mocht u gebruikmaken van Microsoft producten, dan kunnen na het installeren van de update, problemen ontstaan. Machines die gebruik maken van DigiNotar certificaten voor wederzijdse communicatie zullen elkaar niet meer vertrouwen. Dit heeft gevolgen omdat er geen communicatie wordt opgezet tussen de systemen en er geen gegevenswisseling tussen de machines meer mogelijk is. Als één van de twee systemen de update gedraaid heeft kan dit probleem al optreden. "
Volgens de overheidsinstantie is het in kaart brengen van mogelijke problemen door automatische updates bij Linux een stuk moeilijker. "Op basis van de gebruikte oplossingen lijkt de kans op soortgelijke problemen qua omvang en impact als bij Microsoft onwaarschijnlijk."
In het geval van Windows updates is de installatie van de update terug te draaien, waardoor de Diginotar certificaten weer door het systeem worden vertrouwd. GovCERT adviseert dit alleen te doen als het noodzakelijk is.
Peter
Dat wil zeggen dat op basis van de policy de verbinding met de CA gereset kan worden.
In Mozilla firefox is een wijziging in de sourcecode gemaakt om zo betrouwbaar mogelijk alle door DigiNotar uitgegeven certificaten te kunnen blokkeren. En in http://social.technet.microsoft.com/Forums/en-AU/winserversecurity/thread/910914b5-db7d-4a6c-b1db-88bd16c85987 merkt user "Al.x" terecht op dat update (hotfix) KB2607712, naast het verwijderen van een DigiNotar root certificate en "blacklisten" van DigiNotar intermediate certificates, ook "crypt32.dll" vervangt door een nieuwe versie.
Het is nog onduidelijk waarom crypt32.dll wordt vervangen door KB2607712, maar het zou om een vergelijkbare wijziging kunnen gaan als Mozilla heeft doorgevoerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
