image

DigiCert trekt certificaten in wegens ontbrekende underscore bij domeinvalidatie

dinsdag 30 juli 2024, 17:24 door Redactie, 7 reacties

Certificaatautoriteit DigiCert heeft klanten gewaarschuwd dat het bepaalde tls-certificaten gaat intrekken waarvan de controle of de ontvanger van het certificaat ook de eigenaar van het domein was niet volgens de regels is verlopen. Tls-certificaten worden gebruikt voor het opzetten van een versleutelde verbinding tussen websites en bezoekers en het identificeren van de website. Ze spelen dan ook een belangrijke rol en certificaatautoriteiten die certificaten uitgeven moeten aan allerlei regels van het CA/Browser Forum voldoen.

Voordat DigiCert een certificaat aan een klant uitgeeft controleert de certificaatautoriteit eerst of de klant ook de eigenaar is van de domeinnaam waarvoor het certificaat is aangevraagd. Deze validatie kan op verschillende manieren plaatsvinden. Bij één van de manieren moet een klant een DNS CNAME record toevoegen dat is voorzien van een willekeurige waarde die door DigiCert is verstrekt. DigiCert doet vervolgens een DNS-lookup voor het domein en kijkt of de waardes overeenkomen.

Er zijn verschillende manieren om een DNS CNAME record met de willekeurige waarde toe te voegen. Eén daarvan betreft dat de willekeurige waarde wordt voorafgegaan door een underscore karakter. De underscore prefix zorgt ervoor dat de willekeurige waarde niet kan botsen met een echte domeinnaam die dezelfde willekeurige waarde gebruikt. Onlangs ontdekte DigiCert dat het willekeurige waardes zonder underscore prefix heeft verstrekt terwijl dat wel had gemoeten. Domeinvalidaties waarbij de underscore ontbrak terwijl die wel aanwezig had moeten zijn, en waarbij het certificaat toch werd uitgegeven, zijn daardoor non-compliant.

Daarmee voldoen deze certificaten niet aan de regels die voor de uitgifte van certificaten gelden en moeten zonder uitzondering binnen 24 uur worden ingetrokken. Het gaat om 0,4 procent van de domeinvalidaties, aldus DigiCert. Klanten kunnen via hun online DigiCert-omgeving een nieuw certificaat laten uitgeven. DigiCert stelt dat de bug waardoor de underscore prefix ontbrak vijf jaar geleden bij het moderniseren van de validatiesystemen is geïntroduceerd en niet tijdens de controles is ontdekt.

Reacties (7)
30-07-2024, 18:14 door Anoniem
Vijf jaar blunderen en dan nu midden in de vacantieperiode voor alle regio’s de certificaten intrekken. Lekker bezig.

Neem aan dat de extra kosten zullen worden vergoed.
30-07-2024, 20:08 door Anoniem
19:30 is het gedaan. Zonder pardon ingetrokken. Was een leuk dagje herstellen vandaag…
31-07-2024, 03:01 door Erik van Straten
Op dezelfde dag dat Let's Encrypt vorige week aankondigde te gaan stoppen met het snelle OCSP (in te ruilen voor trage CRL's) heeft zij 27 van 34 onterecht aan (op de inhoud van cryptowallets jagende) cybercriminelen uitgegeven certificaten na ca. 6,5 uur ingetrokken (7 stuks niet), voorzien van misleidende redenen voor de betreffende intrekkingen.

Maar aangezien Let's Encrypt op het bord van elke (op security.nl vertoevende) websiteadmin mag scheiten, en de rest al helemaal niets van certificaten snapt ("Tls-certificaten worden gebruikt voor het opzetten van een versleutelde verbinding tussen websites en bezoekers en het identificeren van de website"), ga ik ervan uit dat niemand op deze site geïnteresseerd is in de details van mijn uitpluiswerk. Ik post ze wel elders...
31-07-2024, 09:47 door Anoniem
Bij één van de manieren moet een klant een DNS CNAME record toevoegen dat is voorzien van een willekeurige waarde die door DigiCert is verstrekt.
Waarom eigenlijk een CNAME record? Veel gebruikelijker bij dit soort constructies ("bewijs dat he controle hebt over DNS van dit domein") is om TXT records te gebruiken.
Was dit wellicht bedoelt als een niche case voor klanten die afhankelijk zijn van beperkingen in wat ze via de web DNS editor van hun provider in DNS kunnen zetten?
31-07-2024, 10:27 door Briolet
Onlangs ontdekte DigiCert dat het willekeurige waardes zonder underscore prefix heeft verstrekt terwijl dat wel had gemoeten.

Dit is natuurlijk fout omdat je het anders had willen doen, maar dit heeft natuurlijk geen enkele security consequentie. De enige reden van die underscore is een extreem kleine kans op conflicten met een dubbele naam te voorkomen. Het lijkt me niet dat je daarvoor certificaten moet gaan intrekken.
31-07-2024, 11:12 door Anoniem
Door Briolet:
Onlangs ontdekte DigiCert dat het willekeurige waardes zonder underscore prefix heeft verstrekt terwijl dat wel had gemoeten.

Dit is natuurlijk fout omdat je het anders had willen doen, maar dit heeft natuurlijk geen enkele security consequentie. De enige reden van die underscore is een extreem kleine kans op conflicten met een dubbele naam te voorkomen. Het lijkt me niet dat je daarvoor certificaten moet gaan intrekken.

Dat is geen natte vinger keuze, maar een harde eis waar een CA aan MOET voldoen .
In deze branch is de regels tot op de komma en underscore volgen een verplichting.
31-07-2024, 15:54 door Anoniem
Als het nu al 5 jaar zo werkt, heeft het dan zin om dat binnen 24 uur af te dwingen in plaats van 48 of 96 uur?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.