Een beveiligingslek in het controleproces van certificaatautoriteit StartSSL maakte het mogelijk voor aanvallers om ssl-certificaten voor domeinen uit te geven waarvan ze niet de eigenaar zijn. Het probleem werd door de Saoedische beveiligingsonderzoeker Osama Almanna ontdekt.
Om aan te tonen dat iemand eigenaar is van een domein maakt StartSSL gebruik van een vooraf gedefinieerde lijst van e-mailadressen, zoals webmaster, postmaster of hostmaster, gevolgd door de betreffende domeinnaam, aldus de onderzoeker. De invoer van gebruikers werd echter niet goed gecontroleerd, waardoor het mogelijk was om het http-verzoek aan te passen en daar een ander e-mailadres in te vullen. StartSSL stuurde vervolgens de verificatiecode om aan te geven dat iemand de eigenaar van een domein is naar het aangepaste e-mailadres.
Vervolgens was het mogelijk voor een aanvaller om met deze code een ssl-certificaat voor het domein aan te vragen. Na te zijn ingelicht heeft StartSSL de problemen verholpen. In een reactie op de eigen website stelt de certificaatautoriteit dat het rapport van de onderzoeker niet helemaal klopt. Zo staat het e-mailadres dat voor de controle wordt gebruikt in de whois-gegevens. Het bedrijf ontkent het beveiligingslek echter niet.
Daarnaast heeft StartSSL aangekondigd dat het informatie over alle uitgegeven certificaten in een log voor certificaattransparantie (CT) gaat bijhouden. CT is een door Google ontwikkelde technologie en is bedoeld om verschillende structurele fouten in het ssl-certificaatsysteem te verhelpen. Daardoor moeten onterecht uitgegeven en malafide ssl-certificaten eerder worden ontdekt.
In het CT-ecosysteem verplichten browsers dat een beveiligde website bewijs aanlevert dat het certificaat in een publieke CT-log voorkomt. Een CT-log is een eenvoudige netwerkdienst die een archief van ssl-certificaten bijhoudt. Certificaten kunnen alleen aan dit log worden toegevoegd en niet worden verwijderd of aangepast. Ze gebruiken verder een cryptografische methode om manipulatie te voorkomen en kunnen door het publiek worden gecontroleerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.