XS4ALL-klant krijgt certificaat xs4all.nl via e-mailverzoek
Een klant van XS4ALL heeft op zeer eenvoudige wijze een SSL-certificaat voor het domein xs4all.nl weten te bemachtigen. Volgens de internetprovider gaat het om een stomme fout, maar kon er eigenlijk geen schade worden aangericht. Deze week werd bekend dat een Finse systeembeheerder een certificaat voor het domein Live.fi van Microsoft wist te bemachtigen via de mogelijkheid om de alias hostmaster@live.fi te registreren. Hierdoor kon hij zich tegenover een Certificaat Autoriteit, die SSL-certificaten uitgeeft, als eigenaar van het domein voordoen. Microsoft besloot vervolgens een update voor alle Windowsgebruikers uit te brengen die tegen het onterecht uitgegeven certificaat moet beschermen.
Naar aanleiding van dit verhaal besloot XS4ALL-klant Remy van Elst deze truc bij XS4ALL uit te proberen. Het lukte hem om de alias administrator@xs4all.nl aan te maken, zo laat hij onder andere aan Security.NL weten. Vervolgens vroeg hij bij een Certificaat Autoriteit een certificaat aan en kreeg die inclusief privésleutel uiteindelijk in handen. Van Elst besloot vervolgens zelf het certificaat in te trekken en stelde XS4ALL op de hoogte.
"Er is sprake van een hele slordige domme fout", zegt XS4ALL-woordvoerder Niels Huijbregts. "De melder heeft het netjes gedocumenteerd en verwijderd en ook het e-mailadres weer vrijgegeven." Huijbregts is nog aan het uitzoeken hoe het mogelijk is dat alleen een e-mailadres nodig is om een certificaat voor een domein te genereren. XS4ALL gebruikt een andere certificaatleverancier dan degene die Van Elst gebruikte.
DANE
"Wat verder van belang is om te melden is dat we op xs4all.nl een DANE-record in de DNS staan. Dat is speciaal voor verificatie bedoeld dat het SSL-certificaat dat wij gebruiken ook het SSL-certificaat is dat bij dit domein hoort. Er zijn zoveel certificaatboeren, waardoor de mogelijkheid bestaat dat er ook valse certificaten in omloop zijn." Volgens Huijbregts zou het DANE-record hebben aangegeven wat het echte certificaat voor xs4all.nl is. "De mogelijkheden voor misbruik waren er eigenlijk niet. Maar nogmaals, het is een enorm slordige fout dat dit e-mailadres is vrijgekomen."
De provider zegt dat er geen misbruik heeft plaatsgevonden en er ook geen schade is veroorzaakt. "We zijn blij met de melding, maar we voelen diepe schaamte dat dit heeft kunnen gebeuren." XS4ALL heeft inmiddels gecontroleerd dat naast administrator@ alle andere gangbare aliassen niet meer zijn te registreren.
Aanvulling 13:10: overigens gebruikt xs4all zelf ook een Domain Control Validated certificaat voor *.xs4all.nl, in elk geval voor webmail.xs4all.nl en voor roundcube.xs4all.nl. Dat certificaat is uitgegeven door GlobalSign. Uit https://www.globalsign.com/en/ssl-information-center/types-of-ssl-certificate/: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-----END CERTIFICATE-----
.
Gisteren stond er al iets in het nieuws bij een andere firma.
Deze manier heeft hij gekopieerd en als BIG NEWS verspreid.
Het enige opmerkelijke in het artikel is dat de naam Admin niet geblokkeerd was.
Moet je maar net weten, natuurlijk:
https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf par. 11.1.1
Het moment voor andere ISP's om te checken hoe hun e-mail alias blacklist eruit ziet.
Het enige opmerkelijke in het artikel is dat de naam Admin niet geblokkeerd was.
Als je dat opmerkelijk vindt dan heb je vast wel een lijstje van alle namen die geblokkeerd moeten worden om zeker
te weten dat geen enkele certificaat uitgever een van deze namen zal accepteren voor validatie.
Dit is wel degelijk een fout van xs4all, omdat Comodo in zijn FAQ/voorwaarden al stelt dat dat soort emailadressen aan de instantie is toebedeelt van wie het domein is.
Comodo kan gewoonweg niet checken of deze adressen wel van de instantie zelf zijn. Het is een van de voorwaarden die Comodo stelt als je bij hun een certificaat wilt afnemen. Want als ze dit niet stellen, kunnen ze gewoonweg bij geen enkele emailadres weten of het wel van xs4all is en dan is het helemaal uitzichtloos.
Het enige opmerkelijke in het artikel is dat de naam Admin niet geblokkeerd was.
Als je dat opmerkelijk vindt dan heb je vast wel een lijstje van alle namen die geblokkeerd moeten worden om zeker
te weten dat geen enkele certificaat uitgever een van deze namen zal accepteren voor validatie.
admin@domain.com
postmaster@domain.com
hostmaster@domain.com
webmaster@domain.com
en het email adres wat als technische contact persoon staat ingeschreven bij de domein registratie.
En hoeveel % van alle gebruikers danwel browsers controleert dat ook al weer? 0.0%?
Ik ben het met je eens dat sinds de overname door KPN het een stuk slechter is geworden. De problemen met de FritzBox updates herken ik niet. Wel één keer een compatibiliteitsprobleem gehad toen er in de wijkcentrale een upgrade had plaatsgevonden en de verouderde firmware van de Fritzbox dat niet kon handelen. Pas de derde storingsmonteur wist dit, nadat hij de door mij zorgvuldig aangelegde bedrading volledig overhoop gehaald (ondanks mijn herhaalde vermelding dat het elektrisch allemaal in orde was) had, te tackelen.
Wel vind ik de bruikbaarheid van Xs4all veruit het beste van wat ik tot nu toe in ISP-land heb aangetroffen.
-Grote mailboxen, waardoor IMap een serieuze optie is.
-Veel mogelijkheden voor aantal Email-boxen en -aliassen.
-Server-side blokkering van inkomende poortadressen.
-Eén van de eersten die IPv6 aan de slag ging.
-Vast IP-adres + de mogelijkheid deze te benoemen
-En de Fritzbox is, ondanks het feit dat de huidige versie (ik heb nog de oudere) behoorlijk uitgekleed is, toch één van de beste die gratis beschikbaar gesteld worden.
Dit is wel degelijk een fout van xs4all, omdat Comodo in zijn FAQ/voorwaarden al stelt dat dat soort emailadressen aan de instantie is toebedeelt van wie het domein is.
Comodo kan gewoonweg niet checken of deze adressen wel van de instantie zelf zijn. Het is een van de voorwaarden die Comodo stelt als je bij hun een certificaat wilt afnemen. Want als ze dit niet stellen, kunnen ze gewoonweg bij geen enkele emailadres weten of het wel van xs4all is en dan is het helemaal uitzichtloos.
Hoe kan het nou een fout van XS4ALL zijn om niet te voldoen aan de voorwaarden die een derde partij stelt waar niet zijzelf
maar een klant zaken mee doet?
Overigens is DANE leuk, maar wordt dit nog door vrijwel niemand gecontroleerd. Het had bezoekers dus niet beschermd. Certificate-pinning heeft een groter bereik, maar is niet erg praktisch toepasbaar voor willekeurige organisaties.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
