image

"Trustwave verdient internet-doodstraf"

woensdag 8 februari 2012, 14:53 door Redactie, 4 reacties

Certificate Authority Trustwave, dat willens en wetens een certificaat uitgaf waarmee een bedrijf certificaten kon uitgeven voor websites die het niet beheerde, verdient net als DigiNotar de "doodstraf", aldus een bekende beveiligingsonderzoeker. Op Bugzilla, de plek waar Firefox-gebruikers bugs kunnen aanmelden, barstte een discussie los toen bekend werd dat Trustwave het certificaat had uitgegeven.

De klant van het bedrijf kon daarmee het versleutelde verkeer van werknemers bekijken. Normaliter is het niet mogelijk om versleuteld verkeer tussen bijvoorbeeld Gmail of Hotmail en gebruikers in te zien, maar door het certificaat dat TrustWave uitgaf, kon het bedrijf voor deze domeinen geldige SSL-certificaten genereren.

"Trustwave wist toen het het certificaat uitgaf, dat het gebruikt zou worden om websites te signeren die niet door de zakelijke klant van Trustwave beheerd werden", zegt privacy- en beveiligingsonderzoeker Christopher Soghoian. "Trustwave verkocht een certificaat waarvan het wist dat het gebruikt zou worden om via een man-in-the-middle-aanval HTTPS-verkeer te onderscheppen."

DigiNotar
"Ongeacht het feit dat Trustwave sindsdien besefte dat het niet verstandig is om met dit soort activiteiten bezig te zijn, is de schade al aangericht. Met de macht van het root certificaat komt grote verantwoordelijkheid. Trustwave heeft zijn macht en vertrouwen misbruikt, en dus is hier de gepaste straf de doodstraf, van het root certificaat", merkt Soghoian op.

Een soortgelijke behandeling overkwam DigiNotar, toen bekend werd dat het het genereren van valse SSL-certificaten had verzwegen. Toen was het Tor dat als eerste het root certificaat van de Beverwijkse SSL-verstrekker verwijderde, en het bedrijf zo een "internet-doodstraf" gaf. Uiteindelijk volgde ook alle andere browsers. Of Trustwave het zelfde lot zal ondergaan is nog onduidelijk.

Reacties (4)
08-02-2012, 15:40 door Erik van Straten
In het huidige (brakke) publieke PKI systeem is de hoofdtaak van een CA het garanderen dat een public key toebehoort aan een specifieke identiteit. Daar zet ze vervolgens haar digitale handtekening onder waarmee een certificaat geboren is.

Een certificaat uitgeven waarmee een derde partij zich kan voordoen als maakt-niet-uit-wie is nou net wat zij niet zouden moeten doen.

In http://www.h-online.com/security/news/item/Trustwave-issued-a-man-in-the-middle-certificate-1429982.html staat echter:
Door The H security: This is the first case that we are aware of where a respectable certificate authority has enabled third parties to issue arbitrary SSL server certificates for monitoring purposes. Trustwave claims, however, that this is common practice among other root CAs.
Als dat waar is kan het hele PKI systeem door de plee.
08-02-2012, 18:20 door SLight
Der is sowieso al twijfel aan het hele systeem met certificaten, na StartSSL, DigiNotar, Comodo, Getronics, etc maar er is nog geen alternatief beschikbaar dat het hele systeem nu zou kunnen vervangen en de CA's hebben natuurlijk ook nog grote belangen, natuurlijk.
09-02-2012, 08:13 door N4ppy
Kan met deze firewall ook. Moet je alleen de clients aanpassen
http://www.paloaltonetworks.com/products/features/decryption.html
09-02-2012, 10:00 door Jan-Hein
Door SLight: Der is sowieso al twijfel aan het hele systeem met certificaten, na StartSSL, DigiNotar, Comodo, Getronics, etc maar er is nog geen alternatief beschikbaar dat het hele systeem nu zou kunnen vervangen en de CA's hebben natuurlijk ook nog grote belangen, natuurlijk.
Er is een alternatief beschikbaar dat zonder public key encriptie werkt, en organisatorisch veilig is op te zetten, maar de belangen bij PKI zijn daarvoor inderdaad te groot.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.