image

Fin krijgt Microsoft SSL-certificaat door e-mail te sturen

woensdag 18 maart 2015, 15:37 door Redactie, 7 reacties
Laatst bijgewerkt: 18-03-2015, 23:03

De reden dat Microsoft deze week een SSL-certificaat voor Windows Live ongeldig verklaarde kwam omdat een Finse systeembeheerder die via e-mail had opgevraagd en ook gekregen. Het ingetrokken certificaat was voor het domein Live.fi uitgegeven en maakte het mogelijk om phishing- en Man-in-the-Middle-aanvallen uit te voeren. Tegenover het Finse Tivi laat de man nu weten hoe hij het certificaat in handen kreeg.

Toen Microsoft het domein Live.fi lanceerde bleek het mogelijk om verschillende aliassen te registreren die normaliter voor beheerszaken worden gebruikt. De Finse systeembeheerder besloot naar eigen zeggen "voor de grap" het alias hostmaster@live.fi voor zijn eigen e-mailadres aan te maken, wat tot zijn verbazing ook lukte. Via deze alias kon hij vervolgens proberen om het certificaat voor het domein aan te vragen. SSL-certificaten worden door Certificaat Autoriteiten uitgegeven. In het geval van het onterecht uitgegeven certificaat voor Live.fi was dit door de Certificaat Autoriteit Comodo uitgegeven.

Voordat een SSL-certificaat voor een domein kan worden aangevraagd moet de vragende partij bewijzen dat hij of zij de eigenaar van het domein is. Hiervoor blijkt Comodo een bevestigingsmail te sturen naar een e-mailadres zoals admin@, administrator@, postmaster@, hostmaster@ of webmaster@ de domeinnaam waarvoor het certificaat wordt opgevraagd.

De Finse systeembeheerder besloot via de alias hostmaster@live.fi het certificaat voor het domein Live.fi aan te vragen en ontving inderdaad de bevestigingsmail in zijn inbox. De man zou hierna de Finse telecomwaakhond voor het probleem hebben gewaarschuwd, maar kreeg geen hulp. Vervolgens waarschuwde hij Microsoft, maar ook daar bleef het stil, totdat Microsoft deze week besloot om het onterecht uitgegeven certificaat in te trekken.

Reacties (7)
18-03-2015, 16:24 door Anoniem
Comodo ... ok, ik haak af.
18-03-2015, 18:36 door Anoniem
Dit is niet de fout van Comodo hoor...dit ligt aan degene die live.fi heeft geregistreerd en af geconfigureerd.
18-03-2015, 19:45 door Anoniem
tijd voor Dane's TLSA & Dnssec.
18-03-2015, 20:30 door Anoniem
Toen in Nederland hetnet.nl opstartte was dit ook mogelijk. Dat is al een jaar of 15 geleden.

Er waren diverse mensen die root@hetnet.nl info@hetnet.nl abuse@hetnet.nl en postmaster@hetnet.nl hadden
gekozen als mailadres. Vooral die info@hetnet.nl die was heel actief op allerlei forums. Tot men er bij hetnet genoeg
van kreeg en al die adressen werden opgeheven.

Niet echt iets nieuws onder de zon dus. Wat me wel verbaast is de tekst in het artikel:
"SSL-certificaten worden door Certificaat Autoriteiten uitgegeven. In het geval van Live.fi is Comodo de Certificaat Autoriteit".
Zo werkt het helemaal niet, en dat is juist een grote makke in het systeem. Er is niet een CA gekoppeld aan een domein,
maar IEDERE CA die vertrouwd wordt in je browser (of waarmee je de verbinding ook opzet) kan certificaten uitgeven voor
alle domeinen. Daarom haalt 1 zwakke CA het hele systeem onderuit.
Live.fi is nu down dus ik kan niet zien welke CA het officiele certificaat uitgeeft, maar dat is vast niet Comodo. Echter niets
houdt Comodo tegen er ook een certificaat voor uit te geven en dat heeft dan vrijwel niemand door.
19-03-2015, 08:52 door Anoniem
Door Anoniem: Toen in Nederland hetnet.nl opstartte was dit ook mogelijk. Dat is al een jaar of 15 geleden.

Er waren diverse mensen die root@hetnet.nl info@hetnet.nl abuse@hetnet.nl en postmaster@hetnet.nl hadden
gekozen als mailadres. Vooral die info@hetnet.nl die was heel actief op allerlei forums. Tot men er bij hetnet genoeg
van kreeg en al die adressen werden opgeheven.

Niet echt iets nieuws onder de zon dus. Wat me wel verbaast is de tekst in het artikel:
"SSL-certificaten worden door Certificaat Autoriteiten uitgegeven. In het geval van Live.fi is Comodo de Certificaat Autoriteit".
Zo werkt het helemaal niet, en dat is juist een grote makke in het systeem. Er is niet een CA gekoppeld aan een domein,
maar IEDERE CA die vertrouwd wordt in je browser (of waarmee je de verbinding ook opzet) kan certificaten uitgeven voor
alle domeinen. Daarom haalt 1 zwakke CA het hele systeem onderuit.
Live.fi is nu down dus ik kan niet zien welke CA het officiele certificaat uitgeeft, maar dat is vast niet Comodo. Echter niets
houdt Comodo tegen er ook een certificaat voor uit te geven en dat heeft dan vrijwel niemand door.

AMEN , eindelijk iemand die het goed ziet... :)
19-03-2015, 10:32 door Anoniem
Voordat een SSL-certificaat voor een domein kan worden aangevraagd moet de vragende partij bewijzen dat hij of zij de eigenaar van het domein is. Hiervoor blijkt Comodo een bevestigingsmail te sturen naar een e-mailadres zoals admin@, administrator@, postmaster@, hostmaster@ of webmaster@ de domeinnaam waarvoor het certificaat wordt opgevraagd.

Hij had hostmaster aangevraagd en gekregen. Wie hebben al die andere adressen? Als die wel intern bij Microsoft uitkomen, dan hebben daar ook mensen zitten slapen. Als er hier een mail komt betreffende een certificaat, gaan er alarmbellen af en wordt er nagevraagd of dit wel klopt.

Peter
19-03-2015, 22:04 door Anoniem
Hij had hostmaster aangevraagd en gekregen. Wie hebben al die andere adressen?

Niemand, het stomme is dat het niet goed geblokkeerd was en je het adres kon gebruiken bij het aanmelden op hun site.

Gewoon stom van Microsoft, ze hebben niks geleerd.

Dit is hun voor oa. hotmail.com ook al overkomen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.