Tenminste 5 SSL-uitgevers sinds juni gehackt
Sinds juni van dit jaar zijn er tenminste vijf Certificate Authorities die SSL-certificaten uitgeven gehackt, zo meldt de Electronic Frontier Foundation (EFF). Via het eigen SSL Observatory bestudeerde de Amerikaanse digitale burgerrechtenbeweging alle Certificate Revocation Lists (CRLs). Hiermee kunnen uitgegeven certificaten worden ingetrokken, bijvoorbeeld als ze ten onrechte zijn uitgegeven, zoals bij DigiNotar het geval was. Bij de CRLs wordt ook de reden gemeld waarom een certificaat is ingetrokken.
Tijdens een recente scan van de CRLs kwam de EFF 248 gevallen tegen waarbij de Certificate Authority aangaf dat men gehackt was en dat daarom het certificaat moest worden ingetrokken. Zulke verklaringen werden door vijftien verschillende CA organisaties afgegeven. Bij een vorige scan in juni werd "gehackte Certificate Authority" door tien verschillende CA's als reden opgegeven.
"Aan de hand van deze gegevens kunnen we zien dat tenminste vijf Certificate Authorities de afgelopen vier maanden gehackt zijn", zegt Peter Eckersley. Volgens hem zouden via al deze incidenten de veiligheid van HTTPS-websites in het geding zijn.
Toch ook eigenlijk wel logisch.
We bouwen een trustmodel op basis van enkele partijen waarvan we zelf niet in de gaten houden of die wel trustworthy zijn?
Zaak is wel voor alle security-specialisten, en andersoortige (al dan niet zelfbenoemde) guru's, om dus ook goed uit te leggen dat dit niet perse een groter probleem hoeft te zijn dan dat je een corrupte postbode hebt die in je brieven snuffet, maw, het risico is klein, de gevolgen kunnen wel degelijk groot zijn.
Er wordt waarschijnlijk bedoeld:" de kans is klein, maar het risico is groot "
Risico = "Kans x Gevolgen"
zie ook: https://www.eff.org/files/colour_map_of_CAs.pdf
We moeten ophouden met naar gebruikers communiceren dat een slotje voor een beveiligde website staat. In het geding is niet de veiligheid van HTTPS-websites maar die van de gebruikers. Bij een PKI lek weten zij namelijk niet zeker of ze, als ze een slotje en de correcte hostnaam in de URL balk zien, daadwerkelijk met de bedoelde server communiceren.
M.i. belangrijker, met elk PKI lek is de veiligheid van alle computers die updaten (en daarbij gebruik maken van SSL/TLS verbindingen en/of PKI signed code) in het geding. Targeted attacks worden daardoor peuleschillen, en CRL's/OCSP zijn in zo'n situatie te onbetrouwbaar.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
