Comodo geeft 8 niet toegestane SSL-certificaten uit
Certificaatautoriteit Comodo heeft acht SSL-certificaten uitgegeven die niet zijn toegestaan, wat volgens het bedrijf door een bug in het uitgiftesysteem komt. Rob Stradling van Comodo maakte het incident gisteren op de mailinglist van het Certification Authority Browser Forum bekend. Dit is een consortium van certificaatautoriteiten en ontwikkelaars van browsers en besturingssystemen.
Het Forum stelt richtlijnen op voor de uitgifte van SSL-certificaten. Eén van die regels, die in 2012 al werd opgesteld, stelt dat certificaatautoriteiten geen certificaten mogen uitgeven met een verloopdatum van na 1 november 2015 waarin een gereserveerd IP-adres of interne servernaam is opgenomen. Een aanvaller zou met deze certificaten man-in-the-middle-aanvallen op gesloten netwerken kunnen uitvoeren, zoals openbare of zakelijke wifi-netwerken. Iets dat Comodo zelf vorig jaar nog naar klanten toe communiceerde.
Om ervoor te zorgen dat Comodo zich aan de regels van het Forum houdt voert het bedrijf regelmatig controles uit. Daarbij werden op 5 november acht certificaten gevonden waarvan de verloopdatum na 1 november ligt. In het uitgiftesysteem van certificaten had Comodo eerst een "notAfter date" controle opgenomen, maar deze beperking werd door een aanpassing aan de code op 30 oktober ongedaan gemaakt. Nadat het probleem was ontdekt heeft Comodo die verholpen en de inmiddels uitgegeven certificaten ingetrokken. Daarnaast zal het bedrijf maatregelen nemen om herhaling te voorkomen.
Dit moet natuurlijk een verloopdatum van NA 1 november 2015 zijn.
Daarnaast vroeg ik me af wat een gereserveerd IP adres is. Alle IP adressen waar middels een naam naar verwezen wordt, zijn toch in principe "gereserveerd"? Maar de afspraken kennende neem ik aan dat hier een RFC 1918 of RFC 4193 adres wordt bedoeld.
Peter
Dat zal waarschijnlijk acht moeten zijn.
Wel goed om te lezen dat op deze manier openheid van zaken wordt gegeven.
Dat zal waarschijnlijk acht moeten zijn.
of 'echter'
Zoals vaak het geval staat de meer originele bron hier
http://arstechnica.com/security/2015/11/https-certificates-with-forbidden-domains-issued-by-quite-a-few-cas/
Op Arstechnica.com, Wired.com, Tweakers.net en nu.nl staat het nieuws vaak net even wat eerder dan op security.nl .
Overigens putten die andere en overige Nederlandse nieuwsmedia zelf meestal ook uit de achtergrondartikelen van arstechnica.com/security en wired.com/security .
Dat is niet altijd meteen duidelijk omdat de truuk dan is andere bronnen te vinden die ze kunnen noemen in het artikel.
Anders wordt het te opzichtig welke berg aan nieuws direct van deze twee sites komt.
'Geeft allemaal niets', het is maar dat je het 'weet' en het is toch een prettige samenvat en vertaalservice voor als je in het engels lezen net even wat te vermoeiend vindt.
Dus, heb je vragen, kijk dan even bij Arstechnica, Wired of een van die andere media voor een andere versie van hetzelfde nieuws dat niet zelden ook nog eens een dag(deel) eerder is.
Adressen uit deze reeksen zijn niet uniek, maar komen meerdere malen op internet voor, namelijk binnen alle bedrijfsnetwerken. Dit geldt ook voor interne servernamen die vrijelijk te kiezen zijn en dus niet uniek hoeven te zijn.
Juist die niet-uniciteit levert het veiligheidsgat op: het certificaat dat je hebt aangeschaft voor het ene bedrijfsnetwerk zou je voor een MITM-attack kunnen inzetten op een ander (bedrijfs)netwerk. Omdat het ondertekend is door een betrouwbare uitgever (Comodo) wordt de attack niet opgemerkt.
Daarom moeten de interne certificaten ondertekend worden door de interne CA van het bedrijf. Deze CA zal door browsers van andere bedrijven als "niet betrouwbaar" aangemerkt worden.
Dus, heb je vragen, kijk dan even bij Arstechnica, Wired of een van die andere media voor een andere versie van hetzelfde nieuws dat niet zelden ook nog eens een dag(deel) eerder is.
Niet voor het een of ander, maar op security.nl heb ik het nieuws over de Linux ransomware toch eerder gelezen
6 november https://www.security.nl/posting/450253/Linuxgebruikers+doelwit+van+nieuwe+ransomware
9 november http://arstechnica.com/security/2015/11/new-encryption-ransomware-targets-linux-systems/
om maar een voorbeeld te geven. Beter dat je zoveel mogelijk bronnen in de gaten houdt!
15 oktober https://www.security.nl/posting/447493/Bedrijf+claimt+bijna+1_000+nieuwe+Mac-malware+in+2015
5 november http://www.nu.nl/gadgets/4159087/malware-mac-in-2015-vervijfvoudigd.html
5 november http://tweakers.net/nieuws/106164/beveiligingsbedrijf-malware-voor-os-x-maakt-grote-groei-door.html
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
