Nieuws

Google ontdekt valse SSL-certificaten voor Google-domeinen

woensdag 9 juli 2014, 10:12 door Redactie, 6 reacties

Google heeft valse SSL-certificaten ontdekt die voor verschillende Google-domeinen waren uitgegeven en gebruikt hadden kunnen worden om internetgebruikers mee aan te vallen. De valse SSL-certificaten waren recent door een Indiase uitgever van SSL-certificaten uitgegeven en op 2 juli ontdekt.

SSL-certificaten worden gebruikt voor het identificeren van websites en het versleutelen van internetverkeer. Via de valse certificaten is het mogelijk voor een aanvaller die zich tussen bijvoorbeeld de gebruiker en een website bevindt om het verkeer te ontsleutelen en zo toegang tot gevoelige informatie te krijgen.

Vertrouwen

De valse SSL-certificaten in kwestie waren door het Indiase National Informatics Centre (NIC) uitgegeven dat weer door de Indiase Controller van Certifying Authorities (India CCA) wordt vertrouwd. De certificaten van India CCA staan standaard in de Microsoft Root Store en worden zodoende door een groot deel van de programma's die op Windows draaien vertrouwd, waaronder Internet Explorer en Google Chrome.

Doordat India CCA de SSL-certificaten van het Indiase NIC vertrouwt, vertrouwen ook de programma's op Windows die. Dit geldt echter niet voor Mozilla Firefox, omdat deze browser over een eigen root store beschikt waar de certificaten van India CCA niet in voorkomen. Ook in de root stores van andere besturingssystemen komt India CCA niet voor.

Daarnaast beschikt Google Chrome over een extra beveiligingsmaatregel zodat het valse SSL-certificaten die door een legitieme partij zijn uitgegeven toch kan herkennen. Zo werden de valse SSL-certificaten ontdekt die voor verschillende Google-domeinen bij de inmiddels failliete Beverwijkse SSL-uitgever DigiNotar waren uitgegeven.

Waarschuwing

Na de ontdekking op 2 juli waarschuwde Google zowel het Indiase NIC als India CCA en Microsoft over het incident en verstuurde een update waardoor de valse SSL-certificaten binnen Google Chrome werden geblokkeerd. Een dag later liet India CCA weten dat ze alle intermediate certificaten van het Indiase NIC heeft ingetrokken. Wederom bracht Google een update uit, waardoor deze certificaten van het Indiase NIC ook in Google Chrome werden ingetrokken.

Volgens Google zijn er geen aanwijzingen dat de valse SSL-certificaten op grote schaal zijn misbruikt en gebruikers zouden dan ook niet hun wachtwoorden hoeven te wijzigen. Aangezien het onderzoek naar het incident nog loopt zijn er geen verdere details beschikbaar.

Adobe patcht drie kritieke lekken in Flash Player

Microsoft dicht 24 lekken in Internet Explorer

Reacties (6)

09-07-2014, 11:02 door Anoniem

Is het nu wijsheid om heel India dan maar uit de cert-lijst te knallen?

"Done" en we kijken wel wat er gebeurt ;)

09-07-2014, 11:14 door Briolet

De certificaten van India CCA staan standaard in de Microsoft Root Store en worden zodoende door een groot deel van de programma's die op Windows draaien vertrouwd, waaronder Internet Explorer en Google Chrome.

Ik zie dat er op de Mac geen enkel root-certificaat uit India aanwezig is.

09-07-2014, 12:16 door Anoniem

Door Briolet:

Ik zie dat er op de Mac geen enkel root-certificaat uit India aanwezig is.

Ook in de root stores van andere besturingssystemen komt India CCA niet voor.

09-07-2014, 12:21 door spatieman

goh, komen niet toevaliger wijze ook nog eens de meeste telefoon scammers uit india !

09-07-2014, 12:40 door Anoniem

Jaja dus de maker van een operating system vertrouwt een of andere instantie in India en die vertrouwt dan weer een andere
instantie in India en als resultaat daarvan moet je er als gebruiker van dat operating system op vertrouwen dat connecties
met de grootste concurrent van die fabrikant te vertrouwen zijn?

Ik geloof dat er iets helemaal fout zit met dit systeem...

09-07-2014, 15:41 door Anoniem

Door Anoniem: Jaja dus de maker van een operating system vertrouwt een of andere instantie in India en die vertrouwt dan weer een andere
instantie in India en als resultaat daarvan moet je er als gebruiker van dat operating system op vertrouwen dat connecties
met de grootste concurrent van die fabrikant te vertrouwen zijn?

Ik geloof dat er iets helemaal fout zit met dit systeem...

Dat is allang bekend. Dit systeem werkt hetzelfde als zoveel andere systemen. Denk aan de situatie waarbij mensen in facebook denken dat het goed gaat met de privacy instellingen, terwijl door het vriend van een vriend.... principe meer mensen toegang hebben dan gedacht.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer