Let's Encrypt schakelt specifieke domeinvalidatie uit wegens lek
Certificaatautoriteit Let's Encrypt heeft vanwege een beveiligingslek een onderdeel uitgeschakeld waarmee het controleert of de aanvrager van een tls-certificaat ook de eigenaar van het bijbehorende domein is. Via de kwetsbaarheid had een aanvaller certificaten kunnen aanvragen voor domeinen die niet van hem waren.
Tls-certificaten worden gebruikt voor het opzetten van een versleutelde verbinding tussen websites en bezoekers. Let's Encrypt, dat gratis tls-certificaten uitgeeft, beschikt over verschillende methodes om te controleren of de aanvrager van een certificaat ook de eigenaar van het bijbehorende domein is. Eén van die methodes is de "ACME TLS-SNI-01" validatie, waarbij er communicatie tussen de server van het opgegeven domein en de server van Let's Encrypt plaatsvindt. Op deze manier valideert Let's Encrypt dat het om een legitieme aanvraag gaat.
Er bevindt zich echter een probleem in de validatiemethode waardoor mensen certificaten konden krijgen die ze niet hadden moeten krijgen, zegt Josh Aas, directeur van de Internet Security Research Group (ISRG). Dergelijke certificaten zouden mogelijk voor man-in-the-middle-aanvallen of phishingsites kunnen worden gebruikt. Let's Encrypt is een initiatief van de ISRG en wordt gesteund door Mozilla, Akamai, Cisco, de Amerikaanse burgerrechtenbeweging EFF en andere partijen.
De certificaatautoriteit heeft nu besloten om de validatiemethode uit te schakelen, aangezien dit het probleem volledig verhelpt. Op Hacker News meldt Aas dat er voor zover bekend geen misbruik van de kwetsbaarheid is gemaakt, behalve door de onderzoeker die het probleem ontdekte en aan Let's Encrypt rapporteerde. Verdere details zegt Aas nog niet te kunnen geven. Of de TLS-SNI-validatie permanent uitgeschakeld blijft is nog niet besloten.
Update
Aas heeft meer informatie over de kwetsbaarheid gegeven. Het beveiligingslek kon zich voordoen bij bepaalde shared hostingomgevingen. Het gaat om omgevingen waarbij veel gebruikers op hetzelfde ip-adres worden gehost en gebruikers de mogelijkheid hebben om certificaten voor willekeurige namen te uploaden, zonder te bewijzen dat ze eigenaar van het domein zijn. Hostingproviders waarvan bekend is dat ze kwetsbaar zijn, zijn inmiddels ingelicht en werken aan een oplossing. Let's Encrypt is nu bezig met het inventariseren van andere kwetsbare providers. Vervolgens zal de validatiemethode weer worden ingeschakeld, behalve voor providers die nog geen maatregelen hebben getroffen.
De vraag is dan,. is dit ook gebeurt, en zo ja, hoe vaak en voor welke domeinen?
De vraag is dan,. is dit ook gebeurt, en zo ja, hoe vaak en voor welke domeinen?
Maargoed, als Let's encrypt als CA untrusted wordt, hebben we de poppen aan het dansen.
Let's Encrypt (de pot) heeft ooit de ketel (andere Certificaatautoriteit) verweten dat hij zwart zag , maar nu blijkt dat de pot zelf ook zwart ziet !
etc. etc. naam server info proliferatie en andere onveilige ongein. Ja ook bij de grote jongens in het CDN landschap.
Dan is info proliferatie voorkomen en veiliger connecties brengen maar een klein onderdeel van het onderliggende probleem.
Met verkeerd implementeren en geen best policies gebruiken gaat menig CDN en hoster nog de bietenbrug op.
Meten is weten en scannen brengt wijsheid, zou XS4All zeggen. Jammer genoeg denkt niet ieder AS er zo "verlicht" over
en geloven eerder in aanrommelen via security through obscurity.
Dat ze snel tegen de lamp mogen lopen met hun onveilige eindgebruikers roulette-spelletjes is te hopen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
