Een klant van XS4ALL heeft op zeer eenvoudige wijze een SSL-certificaat voor het domein xs4all.nl weten te bemachtigen. Volgens de internetprovider gaat het om een stomme fout, maar kon er eigenlijk geen schade worden aangericht. Deze week werd bekend dat een Finse systeembeheerder een certificaat voor het domein Live.fi van Microsoft wist te bemachtigen via de mogelijkheid om de alias hostmaster@live.fi te registreren. Hierdoor kon hij zich tegenover een Certificaat Autoriteit, die SSL-certificaten uitgeeft, als eigenaar van het domein voordoen. Microsoft besloot vervolgens een update voor alle Windowsgebruikers uit te brengen die tegen het onterecht uitgegeven certificaat moet beschermen.
Naar aanleiding van dit verhaal besloot XS4ALL-klant Remy van Elst deze truc bij XS4ALL uit te proberen. Het lukte hem om de alias administrator@xs4all.nl aan te maken, zo laat hij onder andere aan Security.NL weten. Vervolgens vroeg hij bij een Certificaat Autoriteit een certificaat aan en kreeg die inclusief privésleutel uiteindelijk in handen. Van Elst besloot vervolgens zelf het certificaat in te trekken en stelde XS4ALL op de hoogte.
"Er is sprake van een hele slordige domme fout", zegt XS4ALL-woordvoerder Niels Huijbregts. "De melder heeft het netjes gedocumenteerd en verwijderd en ook het e-mailadres weer vrijgegeven." Huijbregts is nog aan het uitzoeken hoe het mogelijk is dat alleen een e-mailadres nodig is om een certificaat voor een domein te genereren. XS4ALL gebruikt een andere certificaatleverancier dan degene die Van Elst gebruikte.
"Wat verder van belang is om te melden is dat we op xs4all.nl een DANE-record in de DNS staan. Dat is speciaal voor verificatie bedoeld dat het SSL-certificaat dat wij gebruiken ook het SSL-certificaat is dat bij dit domein hoort. Er zijn zoveel certificaatboeren, waardoor de mogelijkheid bestaat dat er ook valse certificaten in omloop zijn." Volgens Huijbregts zou het DANE-record hebben aangegeven wat het echte certificaat voor xs4all.nl is. "De mogelijkheden voor misbruik waren er eigenlijk niet. Maar nogmaals, het is een enorm slordige fout dat dit e-mailadres is vrijgekomen."
De provider zegt dat er geen misbruik heeft plaatsgevonden en er ook geen schade is veroorzaakt. "We zijn blij met de melding, maar we voelen diepe schaamte dat dit heeft kunnen gebeuren." XS4ALL heeft inmiddels gecontroleerd dat naast administrator@ alle andere gangbare aliassen niet meer zijn te registreren.
Deze posting is gelocked. Reageren is niet meer mogelijk.