Al 80.000 SSL-certificaten vervangen wegens Heartbleed-bug
Vanwege de Heartbleed-bug die sinds vorige week het internet in zijn greep houdt zijn al 80.000 SSL-certificaten vervangen. Het grootste deel van de ruim 500.000 certificaten die mogelijk risico loopt is vooralsnog niet vervangen, zo laat internetbedrijf Netcraft weten.
Via de Heartbleed-bug kan een aanvaller informatie uit het geheugen van een webserver stelen. Naast gegevens van gebruikers, zoals wachtwoorden en sessiecookies, blijkt het ook mogelijk te zijn om de privésleutel van SSL-certificaten buit te maken. SSL-certificaten worden gebruikt voor het identificeren van websites en versleutelen van verkeer tussen de website en bezoekers.
Een aanvaller die over de privésleutel beschikt kan in theorie het versleutelde verkeer ontsleutelen. Een maatregel zoals het gebruik van perfect forward secrecy (PFS) kan echter de schade beperken als de privésleutel wordt gecompromitteerd. Hierdoor wordt namelijk voor elke verbinding tussen de bezoeker en website een willekeurige sessiesleutel gegenereerd en gebruikt. Zodoende lopen gebruikers geen risico als de privésleutel van het SSL-certificaat wordt gecompromitteerd.
Kosten
Toch lijkt het erop dat veel websites hebben besloten om hun certificaat in te trekken en opnieuw uit te geven of een compleet nieuw certificaat aan te schaffen. Volgens Netcraft zou de hele operatie om alle kwetsbare certificaten te vervangen 100 miljoen dollar kunnen kosten, hoewel de meeste Certificate Authorities die SSL-certificaten uitgeven hun klanten kosteloos het certificaat laten intrekken en opnieuw uitgeven.
Veel websites, waaronder Yahoo, GitHub en Steam, hebben echter een compleet nieuw SSL-certificaat aangeschaft. Paul Mutton van Netcraft stelt dat dit mogelijk een eenvoudigere oplossing voor deze partijen was dan het intrekken en opnieuw uitgeven van de certificaten. In deze gevallen kan Heartbleed Certificate Authorities wel extra inkomsten opleveren, merkt Mutton op.
Ingetrokken certificaten
Een deel van de ingetrokken certificaten zal echter bruikbaar blijven omdat ze geen URL bevatten voor het Online Certificate Status Protocol (OCSP). Via dit protocol kunnen browsers controleren of een certificaat is ingetrokken of niet. 4% van de certificaten mist echter een URL voor OCSP. Een alternatief voor OCSP is de certificate revocation list (CRL). In het geval OCSP niet werkt kan de browser de CRL gebruiken. De laatste versie van Firefox werkt echter niet meer met een CRL.
Daarnaast introduceert het gebruik van een CRL ook praktische problemen. Zo moet een browser meer dan 100MB aan data downloaden om van alle Certificate Authorities de ingetrokken certificaten te kunnen bepalen. Iets wat bijvoorbeeld een probleem op mobiele toestellen kan zijn, maar ook op desktops blijkt het lastig te zijn om de lijsten te downloaden. Lijsten die dankzij Heartbleed met 35% in omvang zouden kunnen toenemen, waarschuwt Mutton.
Vanuit het oogpunt van veiligheid is er geen verschil tussen een compleet nieuw certificaat kopen of een re-issue van een oud certificaat. Het enige verschil is de datum tot wanneer het certificaat geldig is. Als een certificaat wordt ge-re-issue'd blijft de geldigheidsdatum hetzelfde als het originele certificaat maar verder is er geen verschil met een nieuw certificaat.
Er wordt helaas veel gedacht dat een nieuw (of reissue) van een certificaat voldoende is maar dat is onjuist! Het gaat er juist om dat het oude certificaat wordt gerevoked, die zou namelijk mogelijk buit kunnen zijn gemaakt door bad guys via de heartbleed bug. Veel CA's revoken echter ook bij een re-issue niet automatisch het oude certificaat en al helemaal niet als je een nieuw certificaat koopt. Je moet hier expliciet om vragen. Vandaar dat het er ook nog "maar" (en niet "al" zoals in de titel staat) 80.000 zijn want ik denk dat er wel weer certificaten zijn vervangen maar helaas (nog) niet revoked.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
