image

XS4ALL-klant krijgt certificaat xs4all.nl via e-mailverzoek

vrijdag 20 maart 2015, 12:10 door Redactie, 17 reacties

Een klant van XS4ALL heeft op zeer eenvoudige wijze een SSL-certificaat voor het domein xs4all.nl weten te bemachtigen. Volgens de internetprovider gaat het om een stomme fout, maar kon er eigenlijk geen schade worden aangericht. Deze week werd bekend dat een Finse systeembeheerder een certificaat voor het domein Live.fi van Microsoft wist te bemachtigen via de mogelijkheid om de alias hostmaster@live.fi te registreren. Hierdoor kon hij zich tegenover een Certificaat Autoriteit, die SSL-certificaten uitgeeft, als eigenaar van het domein voordoen. Microsoft besloot vervolgens een update voor alle Windowsgebruikers uit te brengen die tegen het onterecht uitgegeven certificaat moet beschermen.

Naar aanleiding van dit verhaal besloot XS4ALL-klant Remy van Elst deze truc bij XS4ALL uit te proberen. Het lukte hem om de alias administrator@xs4all.nl aan te maken, zo laat hij onder andere aan Security.NL weten. Vervolgens vroeg hij bij een Certificaat Autoriteit een certificaat aan en kreeg die inclusief privésleutel uiteindelijk in handen. Van Elst besloot vervolgens zelf het certificaat in te trekken en stelde XS4ALL op de hoogte.

"Er is sprake van een hele slordige domme fout", zegt XS4ALL-woordvoerder Niels Huijbregts. "De melder heeft het netjes gedocumenteerd en verwijderd en ook het e-mailadres weer vrijgegeven." Huijbregts is nog aan het uitzoeken hoe het mogelijk is dat alleen een e-mailadres nodig is om een certificaat voor een domein te genereren. XS4ALL gebruikt een andere certificaatleverancier dan degene die Van Elst gebruikte.

DANE

"Wat verder van belang is om te melden is dat we op xs4all.nl een DANE-record in de DNS staan. Dat is speciaal voor verificatie bedoeld dat het SSL-certificaat dat wij gebruiken ook het SSL-certificaat is dat bij dit domein hoort. Er zijn zoveel certificaatboeren, waardoor de mogelijkheid bestaat dat er ook valse certificaten in omloop zijn." Volgens Huijbregts zou het DANE-record hebben aangegeven wat het echte certificaat voor xs4all.nl is. "De mogelijkheden voor misbruik waren er eigenlijk niet. Maar nogmaals, het is een enorm slordige fout dat dit e-mailadres is vrijgekomen."

De provider zegt dat er geen misbruik heeft plaatsgevonden en er ook geen schade is veroorzaakt. "We zijn blij met de melding, maar we voelen diepe schaamte dat dit heeft kunnen gebeuren." XS4ALL heeft inmiddels gecontroleerd dat naast administrator@ alle andere gangbare aliassen niet meer zijn te registreren.

Reacties (17)
20-03-2015, 12:41 door Erik van Straten - Bijgewerkt: 20-03-2015, 13:10
Door Redactie: "Er is sprake van een hele slordige domme fout", zegt XS4ALL-woordvoerder Niels Huijbregts. "De melder heeft het netjes gedocumenteerd en verwijderd en ook het e-mailadres weer vrijgegeven." Huijbregts is nog aan het uitzoeken hoe het mogelijk is dat alleen een e-mailadres nodig is om een certificaat voor een domein te genereren.
De domme fout is dat webbrowsers slechts onderscheid maken tussen "EV" en andere certificaten. De waarde van een "domain-validated" certificaat is, zoals nu ook Remy van Elst heeft aangetoond, ongeveer nul.

Aanvulling 13:10: overigens gebruikt xs4all zelf ook een Domain Control Validated certificaat voor *.xs4all.nl, in elk geval voor webmail.xs4all.nl en voor roundcube.xs4all.nl. Dat certificaat is uitgegeven door GlobalSign. Uit https://www.globalsign.com/en/ssl-information-center/types-of-ssl-certificate/:
DomainSSL Certificates are fully supported and share the same browser recognition with OrganizationSSL, but come with the advantage of being issued almost immediately and without the need to submit company paperwork. This makes DomainSSL ideal for businesses needing a low cost SSL quickly and without the effort of submitting company documents.
Vermoedelijk heeft xs4all, om haar certificaat te verkrijgen, haar identiteit op dezelfde manier "aangetoond" als Remy van Elst - namelijk door een mail te sturen vanaf een xs4all.nl account (al dan niet een "gezaghebbend" account als hostmaster@ of iets dergelijks).
20-03-2015, 12:46 door Anoniem
Dit komt omdat elke klojo van een certificate authority voor elk domein certificaten kan genereren, aan deze wildgroei zou iets gedaan moeten worden zoals een extra check of een certificaat voor een domein ook door een bijbehorende CA is ondertekend. Google doet dit bijvoorbeeld in Chrome en zo kwam de Diginotar hack aan het licht.
20-03-2015, 12:52 door Anoniem
Sinds de hiep-hoera-wij-waren-hackers campagne van 2014 is xs4all nog geen schim meer van wat het was. Met name de helpdesk is echt vreselijk slecht. En adreswijzigingen die je doorgeeft zijn na maanden nog niet verwerkt. FritzBox heeft na elke update/upgrade kuren. Enzovoorts. Exit4all wat mij betreft.
20-03-2015, 13:14 door Erik van Straten - Bijgewerkt: 20-03-2015, 13:14
For the record, het certificaat voor *.xs4all.nl dat ik zojuist kreeg van http://roundcube.xs4all.nl/:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

.
20-03-2015, 13:53 door Anoniem
Dat moet dan recent zijn vrij gegeven, want dat was destijds in 1989 al snel bezet.
20-03-2015, 13:54 door Anoniem
De beste man heeft gewoon een NIEUW certificaat aangemaakt bij een willekeurige firma.
Gisteren stond er al iets in het nieuws bij een andere firma.
Deze manier heeft hij gekopieerd en als BIG NEWS verspreid.

Het enige opmerkelijke in het artikel is dat de naam Admin niet geblokkeerd was.
20-03-2015, 15:53 door Anoniem
Overigens is er een soort van officieel lijstje met e-mail adressen dat CA's hanteren en administrator@... staat daar tussen.

Moet je maar net weten, natuurlijk:

https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf par. 11.1.1

Het moment voor andere ISP's om te checken hoe hun e-mail alias blacklist eruit ziet.
20-03-2015, 15:56 door User2048
Volgens mij is dit geen fout van XS4ALL, maar van de certificaatboer, die niet heeft geverifieerd of de aanvrager wel recht had op dat certificaat.
20-03-2015, 16:02 door Anoniem
Door Anoniem:
Het enige opmerkelijke in het artikel is dat de naam Admin niet geblokkeerd was.

Als je dat opmerkelijk vindt dan heb je vast wel een lijstje van alle namen die geblokkeerd moeten worden om zeker
te weten dat geen enkele certificaat uitgever een van deze namen zal accepteren voor validatie.
20-03-2015, 16:19 door Anoniem
@user2048

Dit is wel degelijk een fout van xs4all, omdat Comodo in zijn FAQ/voorwaarden al stelt dat dat soort emailadressen aan de instantie is toebedeelt van wie het domein is.

Comodo kan gewoonweg niet checken of deze adressen wel van de instantie zelf zijn. Het is een van de voorwaarden die Comodo stelt als je bij hun een certificaat wilt afnemen. Want als ze dit niet stellen, kunnen ze gewoonweg bij geen enkele emailadres weten of het wel van xs4all is en dan is het helemaal uitzichtloos.
20-03-2015, 17:38 door Anoniem
Door Anoniem:
Door Anoniem:
Het enige opmerkelijke in het artikel is dat de naam Admin niet geblokkeerd was.

Als je dat opmerkelijk vindt dan heb je vast wel een lijstje van alle namen die geblokkeerd moeten worden om zeker
te weten dat geen enkele certificaat uitgever een van deze namen zal accepteren voor validatie.
administrator@domain.com
admin@domain.com
postmaster@domain.com
hostmaster@domain.com
webmaster@domain.com
en het email adres wat als technische contact persoon staat ingeschreven bij de domein registratie.
20-03-2015, 17:51 door Anoniem
Zo heb ik, zo'n 13 jaar geleden wpad.xs4all.nl als fqdn op m'n dsl-the gezet samen met een proxy server. Niet heel zinvol want binnen no-time slipte m'n verbinding dicht. Maar als P.o.C. was het interessant. Overigens direct netjes Rob op de hoogte gesteld en de node name weer vrijgegeven.
20-03-2015, 18:09 door Anoniem
Volgens Huijbregts zou het DANE-record hebben aangegeven wat het echte certificaat voor xs4all.nl is.

En hoeveel % van alle gebruikers danwel browsers controleert dat ook al weer? 0.0%?
20-03-2015, 20:21 door Anoniem
Waarom gebruiken CA's e-mail als afdoende verificatiemethode? Zijn die e-mails überhaupt versleuteld?
20-03-2015, 20:32 door Eric-Jan H te D - Bijgewerkt: 20-03-2015, 20:41
Door Anoniem: Sinds de hiep-hoera-wij-waren-hackers campagne van 2014 is xs4all nog geen schim meer van wat het was. Met name de helpdesk is echt vreselijk slecht. En adreswijzigingen die je doorgeeft zijn na maanden nog niet verwerkt. FritzBox heeft na elke update/upgrade kuren. Enzovoorts. Exit4all wat mij betreft.

Ik ben het met je eens dat sinds de overname door KPN het een stuk slechter is geworden. De problemen met de FritzBox updates herken ik niet. Wel één keer een compatibiliteitsprobleem gehad toen er in de wijkcentrale een upgrade had plaatsgevonden en de verouderde firmware van de Fritzbox dat niet kon handelen. Pas de derde storingsmonteur wist dit, nadat hij de door mij zorgvuldig aangelegde bedrading volledig overhoop gehaald (ondanks mijn herhaalde vermelding dat het elektrisch allemaal in orde was) had, te tackelen.

Wel vind ik de bruikbaarheid van Xs4all veruit het beste van wat ik tot nu toe in ISP-land heb aangetroffen.
-Grote mailboxen, waardoor IMap een serieuze optie is.
-Veel mogelijkheden voor aantal Email-boxen en -aliassen.
-Server-side blokkering van inkomende poortadressen.
-Eén van de eersten die IPv6 aan de slag ging.
-Vast IP-adres + de mogelijkheid deze te benoemen
-En de Fritzbox is, ondanks het feit dat de huidige versie (ik heb nog de oudere) behoorlijk uitgekleed is, toch één van de beste die gratis beschikbaar gesteld worden.
22-03-2015, 17:11 door Anoniem
Door Anoniem: @user2048

Dit is wel degelijk een fout van xs4all, omdat Comodo in zijn FAQ/voorwaarden al stelt dat dat soort emailadressen aan de instantie is toebedeelt van wie het domein is.

Comodo kan gewoonweg niet checken of deze adressen wel van de instantie zelf zijn. Het is een van de voorwaarden die Comodo stelt als je bij hun een certificaat wilt afnemen. Want als ze dit niet stellen, kunnen ze gewoonweg bij geen enkele emailadres weten of het wel van xs4all is en dan is het helemaal uitzichtloos.

Hoe kan het nou een fout van XS4ALL zijn om niet te voldoen aan de voorwaarden die een derde partij stelt waar niet zijzelf
maar een klant zaken mee doet?
24-03-2015, 14:34 door Anoniem
Dat is het risico als je derden (klanten in dit geval) toegang geeft tot je eigen 'namespace'. Een grappige 'hack' maar niet erg opzienbarend.

Overigens is DANE leuk, maar wordt dit nog door vrijwel niemand gecontroleerd. Het had bezoekers dus niet beschermd. Certificate-pinning heeft een groter bereik, maar is niet erg praktisch toepasbaar voor willekeurige organisaties.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.