Google slaat alarm na illegaal certificaat voor Google-domeinen
Google heeft op 3 december een ongeautoriseerd SSL-certificaat ontdekt dat voor verschillende Google-domeinen was uitgegeven en door een organisatie werd gebruikt om versleuteld verkeer van Google-gebruikers te inspecteren, zo laat de zoekgigant weten.
SSL-certificaten worden gebruikt voor het identificeren van websites en het versleutelen van verkeer tussen de bezoeker en de website. Ze worden door Certificate Authorities (CA) uitgegeven. In het geval van de certificaten die Google ontdekte waren die afkomstig van een zogeheten "intermediate Certificate Authority", die aan de Franse CA ANSSI was gekoppeld.
Autoriteit
Certificaten die van een intermediate Certificate Authority afkomstig zijn hebben de volledige autoriteit van de CA waar ze onder vallen. "Dus iedereen die er één heeft kan het gebruiken om certificaten aan te maken voor elke website die ze willen imiteren", zegt Adam Langley van het Google Security Team. Na de ontdekking besloot Google de intermediate Certificate Authority in Google Chrome te blokkeren. Vervolgens werden ANSSI en andere browserleveranciers gewaarschuwd.
ANSSI ontdekte dat het certificaat van de intermediate Certificate Authority op een privaat netwerk was gebruikt om het versleutelde verkeer van gebruikers, met hun medeweten, te ontsleutelen, merkt Langley op. Dit is echter in strijd met de procedures van ANSSI die browserontwikkelaars heeft gevraagd om het certificaat in kwestie in te trekken.
Transparantie
Volgens Langley is dit incident een ernstige schending en laat het zien waarom Certificate Transparancy, iets wat Google in 2011 ontwikkelde en sindsdien promoot, zo belangrijk is. Certificate Transparancy is een framework voor het monitoren van SSL-certificaten in real-time. Dit maakt het mogelijk om SSL-certificaten te ontdekken die ten onrechte zijn uitgegeven, of die via een inbraak bij een CA zijn bemachtigd, zoals bij de Beverwijkse CA Diginotar het geval was.
Ook maakt het systeem het mogelijk om CA's te ontdekken die opzettelijk en met kwade bedoelingen certificaten uitgeven. "Aangezien de veiligheid en privacy van onze gebruikers onze prioriteit is, zijn we nog aan het overwegen welke aanvullende acties mogelijk nodig zijn", besluit Langley.
Update 12:23
ANSSI, dat certificaten voor Franse overheidssites uitgeeft, stelt in een verklaring dat het om een menselijke fout gaat. Het certificaat, waarmee het mogelijk was om voor elke willekeurige domeinnaam een SSL-certificaat aan te maken, was aan het Franse Ministerie van Financiën uitgegeven en had als doel om de algehele IT-veiligheid van het ministerie te verbeteren. Volgens ANSSI had de fout geen gevolgen voor de veiligheid van zowel de Franse regering als internetgebruikers en zijn er maatregelen genomen om herhaling te voorkomen.
Om mee te kijken met wat alle medewerkers doen, bedoelen ze!
Dit soort certificaten komt vaak voor in bedrijfs firewalls. Alleen normaal gesproken is het een self-signed certificaat
wat specifiek in de browsers die binnen het bedrijf in gebruik zijn wordt toegevoegd als vertrouwd.
(meestal zonder medeweten van de medewerkers)
De firewall speelt vervolgens man-in-the-middle en ontsleuteld alle verkeer waarvan de medewerker denkt dat het veilig is.
Kennelijk dacht defensie "wat een gedoe om al die browsers te voorzien van een certificaat, we vragen gewoon aan onze
vrienden bij ANSSI om een officieel certificaat, dan wordt het meteen al vertrouwd en kunnen we het zonder problemen
in gebruik nemen.
Dit toont eens en te meer aan dat het hele systeem niet deugt. De Nederlandse overheid is ook certificaatuitgever en
kan precies hetzelfde doen. En ook als het uitkomt roepen "dat was niet de bedoeling". Nee, niet de bedoeling dat
het uitkwam bedoelen ze!
Echt niet, deze zijn bewust gemaakt om verkeer te onderscheppen zoals anoniem van 12:48 zegt.
Er zit een groot gevaar in al die CA's op deze wereld.
Tel het aantal CA's dat er in een browser (Firefox) of een OS (voor Chrome, IE, ..) zitten. Ik telde er bijna 100 in firefox. Deze kunnen allemaal google.com certificaten genereren die je browser zomaar slikt.
Als dan nog met CA's gelieerde bedrijven zich kunnen voordoen als de CA zelf dan kunnen we niet meer vertrouwen op ssl.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
