Nieuws
image

Mozilla trekt illegaal certificaat van Franse overheid in

dinsdag 10 december 2013, 10:01 door Redactie, 5 reacties

Mozilla heeft een certificaat van de Franse overheid ingetrokken dat onterecht was uitgegeven en werd gebruikt voor het genereren van valse SSL-certificaten voor Google-domeinen. Daarmee kon het versleutelde verkeer naar deze domeinen worden ontsleuteld en bekeken.

Google sloeg dit weekend al alarm nadat het de illegale certificaten had ontdekt. De Franse Netwerk- en Informatieveiligheidsdienst (ANSSI), een Certificate Authority (CA) die onderdeel van de Franse overheid is, had een intermediate certificate voor het Franse Ministerie van Financiën uitgegeven.

Met een intermediate certificate is het mogelijk om SSL-certificaten uit te geven die de volledige autoriteit van de CA hebben. SSL-certificaten worden gebruikt voor het identificeren van websites en het versleutelen van het verkeer tussen websites en hun bezoekers.

DigiNotar

Onterecht uitgegeven SSL-certificaten kunnen grote gevolgen hebben, zoals ook het DigiNotar-incident duidelijk maakte. Daar wist een aanvaller SSL-certificaten voor allerlei domeinen te genereren, die vervolgens tegen Iraanse internetgebruikers werden ingezet. Hierdoor was het mogelijk om versleuteld verkeer van deze gebruikers te inspecteren.

De browser sloeg in dit geval geen alarm, omdat het SSL-certificaat van een legitieme CA afkomstig was. Alleen Google Chrome herkende de aanval op Iraanse gebruikers, omdat de browser door had dat het niet om het echte Google SSL-certificaat ging.

Intrekken

In het geval van de certificaten die het Franse Ministerie van Financiën met het intermediate certificaat aanmaakte werden die alleen voor het interne netwerk gebruikt. Dit is echter in strijd met de regels van ANSSI, die het certificaat heeft ingetrokken. Ook Google Chrome heeft het certificaat ingetrokken, waardoor de ten onrechte gegenereerde SSL-certificaten niet meer worden geaccepteerd.

Mozilla volgt het voorbeeld. Het onterecht uitgegeven intermediate certificate zal via Firefox 26 en Firefox 24 ESR worden geblokkeerd. Beide browsers zullen vandaag verschijnen.

Reacties (5)
10-12-2013, 11:22 door Anoniem
Blijft wel een lachertje dat Mozilla een certificaat alleen maar kan intrekken door een nieuwe release van de browser
uit te brengen. Je zou toch denken dat ze na al die incidenten een flexibeler mechanisme zouden hebben gebouwd.
10-12-2013, 11:29 door johanw
Een slappe reactie. Totdat voldoende opgehelderd is wat er precies gebeurd is zou ik de hele CA blokkeren, net als destijds Diginotar. Laat er maar problemen door onhtstaan, dan leren ze dat soort grappen wat vlugger af.
10-12-2013, 12:03 door Anoniem
Door johanw: Een slappe reactie. Totdat voldoende opgehelderd is wat er precies gebeurd is zou ik de hele CA blokkeren, net als destijds Diginotar. Laat er maar problemen door onhtstaan, dan leren ze dat soort grappen wat vlugger af.
+1, ware het niet dat waarschijnlijk een groot deel van de Franse overheid dan overstapt op een andere browser, wat Mozarella ook weer niet wil natuurlijk.
10-12-2013, 13:13 door Wim ten Brink
Door Anoniem: Blijft wel een lachertje dat Mozilla een certificaat alleen maar kan intrekken door een nieuwe release van de browser
uit te brengen. Je zou toch denken dat ze na al die incidenten een flexibeler mechanisme zouden hebben gebouwd.
Er is een flexibel mechanisme en dat is de automatische update. Sowieso is zo'n update altijd noodzakelijk als een certificaat geblokkeerd dient te worden omdat de browser deze informatie niet zomaar op het Internet zal vinden. (De CA geeft namelijk aan dat het certificaat perfect geldig is.) En als er dan toch een update komt om dit certificaat expliciet uit te sluiten kunnen gelijk andere features worden bijgewerkt.
Sowieso doet Google Chrome precies hetzelfde. Ook deze browser krijgt regelmatig nieuwe updates, alleen merk je daar eigenlijk niets van. Ja, soms: POEF! Nieuwe feature.
10-12-2013, 13:56 door Anoniem
Door Wim ten Brink:
Door Anoniem: Blijft wel een lachertje dat Mozilla een certificaat alleen maar kan intrekken door een nieuwe release van de browser
uit te brengen. Je zou toch denken dat ze na al die incidenten een flexibeler mechanisme zouden hebben gebouwd.
Er is een flexibel mechanisme en dat is de automatische update. Sowieso is zo'n update altijd noodzakelijk als een certificaat geblokkeerd dient te worden omdat de browser deze informatie niet zomaar op het Internet zal vinden. (De CA geeft namelijk aan dat het certificaat perfect geldig is.) En als er dan toch een update komt om dit certificaat expliciet uit te sluiten kunnen gelijk andere features worden bijgewerkt.
Sowieso doet Google Chrome precies hetzelfde. Ook deze browser krijgt regelmatig nieuwe updates, alleen merk je daar eigenlijk niets van. Ja, soms: POEF! Nieuwe feature.
Je herhaalt het probleem terwijl je doet alsof het de oplossing is, en je stipt er ongewild een paar meer aan -- alsof de gebruiker mogelijkheden wel of niet de programmacode bij te laten werken automatisch dit soort problemen zal voorkomen.

Mensen bekend met de computerbeveiligingsindustrie zal het niet verbazen dat ook de computerbeveiligingsindustrie niet snapt wat er mis is met dit plaatje. Welnu, het is simpel: Er zou een mechanisme moeten bestaan waar de browser op het internet kan vinden of een certificaat nog te vertrouwen is. Daar zijn "herroepingslijsten" voor, die op twee verschillende manieren te bereiken zijn. Helaas zijn beide protocollen eigenlijk gewoon te brak om te gebruiken, wat ongeveer geldt voor het hele PKI systeem, maar dit terzijde. En ja, terugtrekken van een certificaat is een taak van de certificaatuitgever. Die moet dat dus ook doen. Doen ze dat niet dan zijn ze nalatig en eigenlijk niet als CA te vertrouwen.

Het kale feit dat browsermakers niet op de certificaatuitgever wachten maar hun code aanpassen moet dan ook duidelijk maken dat er iets grondig mis is in computerbeveiligingsland. Dit hoor je te snappen, als computerbeveiligingsprofessional.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure