image

Microsoft overweegt certificaatpinning in IE

maandag 17 november 2014, 11:54 door Redactie, 6 reacties

Om gebruikers tegen aanvallen via vervalste certificaten te beschermen overweegt Microsoft om certificaatpinning aan Internet Explorer toe te voegen. Certificaatpinning moet aanvallen voorkomen waarbij aanvallers die zich tussen het slachtoffer en het internet bevinden frauduleus gegenereerde certificaten gebruiken om de gebruiker aan te vallen.

Voor het opzetten van beveiligde verbindingen werken websites met SSL-certificaten, die door certificaatautoriteiten (CA) worden uitgegeven. Een aanvaller die bij een CA weet in te breken en vervolgens een frauduleus SSL-certificaat genereert kan dit certificaat gebruiken voor een Man-in-the-Middle-aanval, waarbij de browser van de gebruiker geen waarschuwing geeft omdat het gebruikte certificaat van een geldige CA afkomstig is. Dit gebeurde bijvoorbeeld bij DigiNotar.

In het geval van certificaatpinning accepteert de browser alleen certificaten die door bepaalde CA's zijn uitgegeven. Als het certificaat door een CA is uitgegeven die niet op de whitelist staat geeft de browser een waarschuwing. Google Chrome ondersteunde deze maatregel als eerste en zorgde er zo voor dat de aanval op DigiNotar in de openbaarheid kwam. Een aanvaller had bij DigiNotar een frauduleus SSL-certificaat voor Google-domeinen gegenereerd dat tegen Iraanse internetgebruikers werd ingezet.

Andere browsers accepteerden het certificaat, maar Chrome sloeg alarm omdat DigiNotar niet op de lijst met gewhiteliste CA's stond die SSL-certificaten voor Google mogen uitgeven. In september van dit jaar voegde Mozilla certificaatpinning aan Firefox toe en nu blijkt ook Microsoft te overwegen om de maatregel aan toekomstige versies van IE toe te voegen.

Reacties (6)
17-11-2014, 12:32 door Anoniem
Wat ik dan weer onder 'pinning' zou verstaan (wat ook mogelijk kan werken)
is zodra je op een site bent, bijvoorbeeld RaboBank, dat je het gebruikte certificaat 'vast' zet,
zodra er een ander certificaat gebruikt wordt voor dit domein, je hier dus voor wordt gewaarschuwd.
(verlopen/vervanging van certificaten geeft dus melding).

ja je blijft altijd het punt houden waarom de 'eerste pin' misschien al fraudeleus is
en attacks op deze lijst.
17-11-2014, 13:21 door Anoniem
Voor wie dit vandaag al wil: is een functie van EMET 5.x.

http://blogs.technet.com/b/srd/archive/2014/11/10/emet-5-1-is-available.aspx
17-11-2014, 15:14 door Anoniem
Er zijn ook Firefox addons zoals Conspiracy en Certificate Patrol die je meer inzicht geven in welke CA het certificaat heeft ondertekend.
17-11-2014, 15:59 door Anoniem
Door Anoniem: Er zijn ook Firefox addons zoals Conspiracy en Certificate Patrol die je meer inzicht geven in welke CA het certificaat heeft ondertekend.
Dat heb ik ook ja. Helaas word je wel gillend gek van de certificatenbagger van Google en Twitter als je dat aan zet.
(het lijkt wel of iedere server in hun farm een eigen certificaat heeft, waardoor je de hele tijd die warnings krijgt)
17-11-2014, 17:37 door Anoniem
Ik neem aan dat het simpelweg gaat om de implementatie van het volgende: https://tools.ietf.org/html/draft-ietf-websec-key-pinning-21
17-11-2014, 18:21 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.