image

Google slaat alarm na illegaal certificaat voor Google-domeinen

zondag 8 december 2013, 11:52 door Redactie, 3 reacties
Laatst bijgewerkt: 08-12-2013, 12:23

Google heeft op 3 december een ongeautoriseerd SSL-certificaat ontdekt dat voor verschillende Google-domeinen was uitgegeven en door een organisatie werd gebruikt om versleuteld verkeer van Google-gebruikers te inspecteren, zo laat de zoekgigant weten.

SSL-certificaten worden gebruikt voor het identificeren van websites en het versleutelen van verkeer tussen de bezoeker en de website. Ze worden door Certificate Authorities (CA) uitgegeven. In het geval van de certificaten die Google ontdekte waren die afkomstig van een zogeheten "intermediate Certificate Authority", die aan de Franse CA ANSSI was gekoppeld.

Autoriteit

Certificaten die van een intermediate Certificate Authority afkomstig zijn hebben de volledige autoriteit van de CA waar ze onder vallen. "Dus iedereen die er één heeft kan het gebruiken om certificaten aan te maken voor elke website die ze willen imiteren", zegt Adam Langley van het Google Security Team. Na de ontdekking besloot Google de intermediate Certificate Authority in Google Chrome te blokkeren. Vervolgens werden ANSSI en andere browserleveranciers gewaarschuwd.

ANSSI ontdekte dat het certificaat van de intermediate Certificate Authority op een privaat netwerk was gebruikt om het versleutelde verkeer van gebruikers, met hun medeweten, te ontsleutelen, merkt Langley op. Dit is echter in strijd met de procedures van ANSSI die browserontwikkelaars heeft gevraagd om het certificaat in kwestie in te trekken.

Transparantie

Volgens Langley is dit incident een ernstige schending en laat het zien waarom Certificate Transparancy, iets wat Google in 2011 ontwikkelde en sindsdien promoot, zo belangrijk is. Certificate Transparancy is een framework voor het monitoren van SSL-certificaten in real-time. Dit maakt het mogelijk om SSL-certificaten te ontdekken die ten onrechte zijn uitgegeven, of die via een inbraak bij een CA zijn bemachtigd, zoals bij de Beverwijkse CA Diginotar het geval was.

Ook maakt het systeem het mogelijk om CA's te ontdekken die opzettelijk en met kwade bedoelingen certificaten uitgeven. "Aangezien de veiligheid en privacy van onze gebruikers onze prioriteit is, zijn we nog aan het overwegen welke aanvullende acties mogelijk nodig zijn", besluit Langley.

Update 12:23

ANSSI, dat certificaten voor Franse overheidssites uitgeeft, stelt in een verklaring dat het om een menselijke fout gaat. Het certificaat, waarmee het mogelijk was om voor elke willekeurige domeinnaam een SSL-certificaat aan te maken, was aan het Franse Ministerie van Financiën uitgegeven en had als doel om de algehele IT-veiligheid van het ministerie te verbeteren. Volgens ANSSI had de fout geen gevolgen voor de veiligheid van zowel de Franse regering als internetgebruikers en zijn er maatregelen genomen om herhaling te voorkomen.

Reacties (3)
08-12-2013, 12:48 door Anoniem
"had als doel om de algehele IT-veiligheid van het ministerie te verbeteren"

Om mee te kijken met wat alle medewerkers doen, bedoelen ze!
Dit soort certificaten komt vaak voor in bedrijfs firewalls. Alleen normaal gesproken is het een self-signed certificaat
wat specifiek in de browsers die binnen het bedrijf in gebruik zijn wordt toegevoegd als vertrouwd.
(meestal zonder medeweten van de medewerkers)
De firewall speelt vervolgens man-in-the-middle en ontsleuteld alle verkeer waarvan de medewerker denkt dat het veilig is.

Kennelijk dacht defensie "wat een gedoe om al die browsers te voorzien van een certificaat, we vragen gewoon aan onze
vrienden bij ANSSI om een officieel certificaat, dan wordt het meteen al vertrouwd en kunnen we het zonder problemen
in gebruik nemen.

Dit toont eens en te meer aan dat het hele systeem niet deugt. De Nederlandse overheid is ook certificaatuitgever en
kan precies hetzelfde doen. En ook als het uitkomt roepen "dat was niet de bedoeling". Nee, niet de bedoeling dat
het uitkwam bedoelen ze!
09-12-2013, 07:24 door [Account Verwijderd]
In deze materie wel heel toepasselijk: "de ketting is zo sterk als de zwakste schakel" en wederom is dat de mens!
09-12-2013, 21:40 door Anoniem
Door iNeo: In deze materie wel heel toepasselijk: "de ketting is zo sterk als de zwakste schakel" en wederom is dat de mens!

Echt niet, deze zijn bewust gemaakt om verkeer te onderscheppen zoals anoniem van 12:48 zegt.

Er zit een groot gevaar in al die CA's op deze wereld.
Tel het aantal CA's dat er in een browser (Firefox) of een OS (voor Chrome, IE, ..) zitten. Ik telde er bijna 100 in firefox. Deze kunnen allemaal google.com certificaten genereren die je browser zomaar slikt.

Als dan nog met CA's gelieerde bedrijven zich kunnen voordoen als de CA zelf dan kunnen we niet meer vertrouwen op ssl.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.