Nieuws

XS4ALL-klant krijgt certificaat xs4all.nl via e-mailverzoek

vrijdag 20 maart 2015, 12:10 door Redactie, 17 reacties

Een klant van XS4ALL heeft op zeer eenvoudige wijze een SSL-certificaat voor het domein xs4all.nl weten te bemachtigen. Volgens de internetprovider gaat het om een stomme fout, maar kon er eigenlijk geen schade worden aangericht. Deze week werd bekend dat een Finse systeembeheerder een certificaat voor het domein Live.fi van Microsoft wist te bemachtigen via de mogelijkheid om de alias hostmaster@live.fi te registreren. Hierdoor kon hij zich tegenover een Certificaat Autoriteit, die SSL-certificaten uitgeeft, als eigenaar van het domein voordoen. Microsoft besloot vervolgens een update voor alle Windowsgebruikers uit te brengen die tegen het onterecht uitgegeven certificaat moet beschermen.

Naar aanleiding van dit verhaal besloot XS4ALL-klant Remy van Elst deze truc bij XS4ALL uit te proberen. Het lukte hem om de alias administrator@xs4all.nl aan te maken, zo laat hij onder andere aan Security.NL weten. Vervolgens vroeg hij bij een Certificaat Autoriteit een certificaat aan en kreeg die inclusief privésleutel uiteindelijk in handen. Van Elst besloot vervolgens zelf het certificaat in te trekken en stelde XS4ALL op de hoogte.

"Er is sprake van een hele slordige domme fout", zegt XS4ALL-woordvoerder Niels Huijbregts. "De melder heeft het netjes gedocumenteerd en verwijderd en ook het e-mailadres weer vrijgegeven." Huijbregts is nog aan het uitzoeken hoe het mogelijk is dat alleen een e-mailadres nodig is om een certificaat voor een domein te genereren. XS4ALL gebruikt een andere certificaatleverancier dan degene die Van Elst gebruikte.

DANE

"Wat verder van belang is om te melden is dat we op xs4all.nl een DANE-record in de DNS staan. Dat is speciaal voor verificatie bedoeld dat het SSL-certificaat dat wij gebruiken ook het SSL-certificaat is dat bij dit domein hoort. Er zijn zoveel certificaatboeren, waardoor de mogelijkheid bestaat dat er ook valse certificaten in omloop zijn." Volgens Huijbregts zou het DANE-record hebben aangegeven wat het echte certificaat voor xs4all.nl is. "De mogelijkheden voor misbruik waren er eigenlijk niet. Maar nogmaals, het is een enorm slordige fout dat dit e-mailadres is vrijgekomen."

De provider zegt dat er geen misbruik heeft plaatsgevonden en er ook geen schade is veroorzaakt. "We zijn blij met de melding, maar we voelen diepe schaamte dat dit heeft kunnen gebeuren." XS4ALL heeft inmiddels gecontroleerd dat naast administrator@ alle andere gangbare aliassen niet meer zijn te registreren.

Kaspersky hekelt "sensatieberichten" over KGB-banden

Oracle stopt met beveiligingsupdates voor Java 7

Reacties (17)

20-03-2015, 12:41 door Erik van Straten - Bijgewerkt: 20-03-2015, 13:10

Door Redactie: "Er is sprake van een hele slordige domme fout", zegt XS4ALL-woordvoerder Niels Huijbregts. "De melder heeft het netjes gedocumenteerd en verwijderd en ook het e-mailadres weer vrijgegeven." Huijbregts is nog aan het uitzoeken hoe het mogelijk is dat alleen een e-mailadres nodig is om een certificaat voor een domein te genereren.

De domme fout is dat webbrowsers slechts onderscheid maken tussen "EV" en andere certificaten. De waarde van een "domain-validated" certificaat is, zoals nu ook Remy van Elst heeft aangetoond, ongeveer nul.

Aanvulling 13:10: overigens gebruikt xs4all zelf ook een Domain Control Validated certificaat voor *.xs4all.nl, in elk geval voor webmail.xs4all.nl en voor roundcube.xs4all.nl. Dat certificaat is uitgegeven door GlobalSign. Uit https://www.globalsign.com/en/ssl-information-center/types-of-ssl-certificate/:

DomainSSL Certificates are fully supported and share the same browser recognition with OrganizationSSL, but come with the advantage of being issued almost immediately and without the need to submit company paperwork. This makes DomainSSL ideal for businesses needing a low cost SSL quickly and without the effort of submitting company documents.

Vermoedelijk heeft xs4all, om haar certificaat te verkrijgen, haar identiteit op dezelfde manier "aangetoond" als Remy van Elst - namelijk door een mail te sturen vanaf een xs4all.nl account (al dan niet een "gezaghebbend" account als hostmaster@ of iets dergelijks).

20-03-2015, 12:46 door Anoniem

Dit komt omdat elke klojo van een certificate authority voor elk domein certificaten kan genereren, aan deze wildgroei zou iets gedaan moeten worden zoals een extra check of een certificaat voor een domein ook door een bijbehorende CA is ondertekend. Google doet dit bijvoorbeeld in Chrome en zo kwam de Diginotar hack aan het licht.

20-03-2015, 12:52 door Anoniem

Sinds de hiep-hoera-wij-waren-hackers campagne van 2014 is xs4all nog geen schim meer van wat het was. Met name de helpdesk is echt vreselijk slecht. En adreswijzigingen die je doorgeeft zijn na maanden nog niet verwerkt. FritzBox heeft na elke update/upgrade kuren. Enzovoorts. Exit4all wat mij betreft.

20-03-2015, 13:14 door Erik van Straten - Bijgewerkt: 20-03-2015, 13:14

For the record, het certificaat voor *.xs4all.nl dat ik zojuist kreeg van http://roundcube.xs4all.nl/:

20-03-2015, 13:53 door Anoniem

Dat moet dan recent zijn vrij gegeven, want dat was destijds in 1989 al snel bezet.

20-03-2015, 13:54 door Anoniem

De beste man heeft gewoon een NIEUW certificaat aangemaakt bij een willekeurige firma.
Gisteren stond er al iets in het nieuws bij een andere firma.
Deze manier heeft hij gekopieerd en als BIG NEWS verspreid.

Het enige opmerkelijke in het artikel is dat de naam Admin niet geblokkeerd was.

20-03-2015, 15:53 door Anoniem

Overigens is er een soort van officieel lijstje met e-mail adressen dat CA's hanteren en administrator@... staat daar tussen.

Moet je maar net weten, natuurlijk:

https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf par. 11.1.1

Het moment voor andere ISP's om te checken hoe hun e-mail alias blacklist eruit ziet.

20-03-2015, 15:56 door User2048

Volgens mij is dit geen fout van XS4ALL, maar van de certificaatboer, die niet heeft geverifieerd of de aanvrager wel recht had op dat certificaat.

20-03-2015, 16:02 door Anoniem

Door Anoniem:
Het enige opmerkelijke in het artikel is dat de naam Admin niet geblokkeerd was.

Als je dat opmerkelijk vindt dan heb je vast wel een lijstje van alle namen die geblokkeerd moeten worden om zeker
te weten dat geen enkele certificaat uitgever een van deze namen zal accepteren voor validatie.

20-03-2015, 16:19 door Anoniem

@user2048

Dit is wel degelijk een fout van xs4all, omdat Comodo in zijn FAQ/voorwaarden al stelt dat dat soort emailadressen aan de instantie is toebedeelt van wie het domein is.

Comodo kan gewoonweg niet checken of deze adressen wel van de instantie zelf zijn. Het is een van de voorwaarden die Comodo stelt als je bij hun een certificaat wilt afnemen. Want als ze dit niet stellen, kunnen ze gewoonweg bij geen enkele emailadres weten of het wel van xs4all is en dan is het helemaal uitzichtloos.

20-03-2015, 17:38 door Anoniem

Door Anoniem:

Door Anoniem:
Het enige opmerkelijke in het artikel is dat de naam Admin niet geblokkeerd was.

administrator@domain.com
admin@domain.com
postmaster@domain.com
hostmaster@domain.com
webmaster@domain.com
en het email adres wat als technische contact persoon staat ingeschreven bij de domein registratie.

20-03-2015, 17:51 door Anoniem

Zo heb ik, zo'n 13 jaar geleden wpad.xs4all.nl als fqdn op m'n dsl-the gezet samen met een proxy server. Niet heel zinvol want binnen no-time slipte m'n verbinding dicht. Maar als P.o.C. was het interessant. Overigens direct netjes Rob op de hoogte gesteld en de node name weer vrijgegeven.

20-03-2015, 18:09 door Anoniem

Volgens Huijbregts zou het DANE-record hebben aangegeven wat het echte certificaat voor xs4all.nl is.

En hoeveel % van alle gebruikers danwel browsers controleert dat ook al weer? 0.0%?

20-03-2015, 20:21 door Anoniem

Waarom gebruiken CA's e-mail als afdoende verificatiemethode? Zijn die e-mails überhaupt versleuteld?

20-03-2015, 20:32 door Eric-Jan H te D - Bijgewerkt: 20-03-2015, 20:41

Door Anoniem: Sinds de hiep-hoera-wij-waren-hackers campagne van 2014 is xs4all nog geen schim meer van wat het was. Met name de helpdesk is echt vreselijk slecht. En adreswijzigingen die je doorgeeft zijn na maanden nog niet verwerkt. FritzBox heeft na elke update/upgrade kuren. Enzovoorts. Exit4all wat mij betreft.

Ik ben het met je eens dat sinds de overname door KPN het een stuk slechter is geworden. De problemen met de FritzBox updates herken ik niet. Wel één keer een compatibiliteitsprobleem gehad toen er in de wijkcentrale een upgrade had plaatsgevonden en de verouderde firmware van de Fritzbox dat niet kon handelen. Pas de derde storingsmonteur wist dit, nadat hij de door mij zorgvuldig aangelegde bedrading volledig overhoop gehaald (ondanks mijn herhaalde vermelding dat het elektrisch allemaal in orde was) had, te tackelen.

Wel vind ik de bruikbaarheid van Xs4all veruit het beste van wat ik tot nu toe in ISP-land heb aangetroffen.
-Grote mailboxen, waardoor IMap een serieuze optie is.
-Veel mogelijkheden voor aantal Email-boxen en -aliassen.
-Server-side blokkering van inkomende poortadressen.
-Eén van de eersten die IPv6 aan de slag ging.
-Vast IP-adres + de mogelijkheid deze te benoemen
-En de Fritzbox is, ondanks het feit dat de huidige versie (ik heb nog de oudere) behoorlijk uitgekleed is, toch één van de beste die gratis beschikbaar gesteld worden.

22-03-2015, 17:11 door Anoniem

Door Anoniem: @user2048

Dit is wel degelijk een fout van xs4all, omdat Comodo in zijn FAQ/voorwaarden al stelt dat dat soort emailadressen aan de instantie is toebedeelt van wie het domein is.

Comodo kan gewoonweg niet checken of deze adressen wel van de instantie zelf zijn. Het is een van de voorwaarden die Comodo stelt als je bij hun een certificaat wilt afnemen. Want als ze dit niet stellen, kunnen ze gewoonweg bij geen enkele emailadres weten of het wel van xs4all is en dan is het helemaal uitzichtloos.

Hoe kan het nou een fout van XS4ALL zijn om niet te voldoen aan de voorwaarden die een derde partij stelt waar niet zijzelf
maar een klant zaken mee doet?

24-03-2015, 14:34 door Anoniem

Dat is het risico als je derden (klanten in dit geval) toegang geeft tot je eigen 'namespace'. Een grappige 'hack' maar niet erg opzienbarend.

Overigens is DANE leuk, maar wordt dit nog door vrijwel niemand gecontroleerd. Het had bezoekers dus niet beschermd. Certificate-pinning heeft een groter bereik, maar is niet erg praktisch toepasbaar voor willekeurige organisaties.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer