image

Zwakke MD5 SSL-certificaten bij banken en overheden

zaterdag 1 september 2012, 08:04 door Redactie, 1 reacties

Er zijn nog altijd zo'n 1300 websites op internet, waaronder die van banken en overheden, die zwakke en te vervalsen SSL-certificaten gebruiken. Internetbedrijf Netcraft ontdekte dat deze certificaten met het MD5-algoritme zijn ondertekend. In het verleden zijn verschillende kwetsbaarheden in het algoritme aangetoond, waaronder collision-aanvallen. Hierdoor kan een aanvaller een vals certificaat maken. Iets wat al sinds 2008 bekend is.

Destijds gebruikte nog 14% van de SSL-certificaten MD5, maar sindsdien is het aantal sterk teruggelopen. Zo verwijderde Apple vorig jaar de ondersteuning van door MD5 gesigneerde certificaten in iOS 5. Verschillende browserontwikkelaars hebben inmiddels maatregelen genomen om voor MD5 certificaten te waarschuwen. Daarnaast zijn er door het CA/Browser Forum richtlijnen opgesteld die het gebruik van MD5 niet meer toestaan.

Levensduur
Een aantal certificaten dat tussen 2006 en 2008 met MD5 is gesigneerd heeft een geldigheidsduur van vier tot zes jaar. Dat betekent dat alle door MD5-gesigneerde certificaten die nog op internet in gebruik zijn in maart 2014 zullen verlopen.

Uit onderzoek van Netcraft blijkt dat een aantal overheidssites, waaronder in Australië, Nieuw-Zeeland, Ierland en Groot-Brittannië nog steeds dit soort certificaten gebruiken. Ook werden verschillende banken, zakelijke webmaildiensten, hostingproviders, scholen, universiteiten en zelfs een reseller van GeoTrust SSL-certificaten aangetroffen waar de zwakke SSL-certificaten in gebruik zijn.

Reacties (1)
03-09-2012, 10:57 door Anoniem
Zou het bericht niet zo moeten zijn: "Er zijn nog steeds browsers die zwakke md5 certificaten accepteren"?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.