Security Professionals - ipfw add deny all from eindgebruikers to any

Domain Validation en OCSP

Reageer met quote
19-04-2025, 12:49 door Erik van Straten, 4 reacties
Laatst bijgewerkt: 19-04-2025, 12:52
Het certificaat is ingetrokken: https://crt.sh/?id=17926238129&opt=ocsp

Uit https://bugzilla.mozilla.org/show_bug.cgi?id=1961406:
Opened 16 hours ago · Updated 18 minutes ago
SSL.com: DCV bypass and issue fake certificates for any MX hostname
[...]

Bron: Filippo Valsorda in https://abyssdomain.expert/@filippo/114364163369923155, daaruit:
Oof. Reportedly, if you got a certificate from SSL.com by putting “example[@]gmail.com” at _validation-contactemail.example.com, they would add gmail.com (!!!) to your verified domains.

A good reminder to use the CAA record, and to sign up for CT monitoring (e.g. Cert Spotter).

https://bugzilla.mozilla.org/show_bug.cgi?id=1961406
Apr 19, 2025, 12:30 PM
Reacties (4)
Reageer met quote
19-04-2025, 13:51 door Anoniem
Door Erik van Straten:Maar hoe groot is dat risico? Vooral: hoe vaak gebeurt dat?
Vandaag vaak dus! ;-)
Reageer met quote
19-04-2025, 22:55 door Erik van Straten
Door Anoniem:
Door Erik van Straten:Maar hoe groot is dat risico? Vooral: hoe vaak gebeurt dat?
Vandaag vaak dus! ;-)
Oh wat leuk, een smiley!

Dit is (helaas) de "manier" waarop Anoniemen "discussiëren" op security.nl - in plaats van argumenten met steekhoudende tegenargumenten te weerleggen. Het is niet anders.

Twee opmerkingen:

1) Mijn reactie ging over rootcertificaten (eerder in die draad had Named het over Diginotar):
18-04-2025, 18:07 door Erik van Straten in https://security.nl/posting/884781:
Door Named: Ik doelde eigenlijk op dat *alle* beveiligde verbindingen een AitM risico oplopen zodra er ook maar één CA oeps doet. Want (algemeen gesproken) kan elke CA voor elk domein een certificaat uitgeven.
Klopt (los van CAA). Maar hoe groot is dat risico? Vooral: hoe vaak gebeurt dat?

2) Maar je heb zelfs gelijk: één van de problemen van Domain Validated cerificaten is dat ze veel te vaak, zonder consequenties voor de verstrekker, worden uitgegeven. Het incident dat ik hierboven noemde kan worden toegevoegd aan de lijst in https://infosec.exchange/@ErikvanStraten/112914050216821746.
Reageer met quote
Gisteren, 00:13 door Named
Whoops, ik was niet ingelogd. Sorry.
Het was als grap bedoeld, niet als argument voor discussie. (vandaar de smiley)

Door Erik van Straten: 2) Maar je heb zelfs gelijk: één van de problemen van Domain Validated cerificaten is dat ze veel te vaak, zonder consequenties voor de verstrekker, worden uitgegeven.
Hierom had ik dus geopperd de autoriteit van CA's via hun certificaten uit het verbindingsproces weg te nemen. Stop de public key van de server gewoon in een DNS record en je kan het hele certificaat gebeuren achterwege laten voor de TLS/HTTPS verbinding. Alle risico's die bij certificaten en CA's komen kijken zijn hiermee dan geëlimineerd. Dan hoef je ook geen certbot meer te draaien en hoeft Let's Encrypt geen DV certificaten meer uit te delen.

Het enige risico dat dan overblijft is impersonate via nepwebsites, vaak op sterk lijkende domeinen.
Hier heeft een certificaat wel nut, mits dit zo is vormgegeven dat gemiddelde gebruiker het dan ook gebruikt.
Reageer met quote
Gisteren, 12:32 door Erik van Straten
Door Named: Stop de public key van de server gewoon in een DNS record en je kan het hele certificaat gebeuren achterwege laten voor de TLS/HTTPS verbinding. Alle risico's die bij certificaten en CA's komen kijken zijn hiermee dan geëlimineerd. Dan hoef je ook geen certbot meer te draaien en hoeft Let's Encrypt geen DV certificaten meer uit te delen.
Dan zouden er nog 1024 (of 512) bit RSA sleutelparen worden gebruikt (nul toezicht), was er geheel geen revocation, en was ook het volgende soort probleem niet opgelost, uit https://infosec.exchange/@ErikvanStraten/112914050216821746:
2024-07-31 "Sitting Ducks" attacks/DNS hijacks: mis-issued certificates for possibly more than 35.000 domains by Let’s Encrypt and DigiCert: https://blogs.infoblox.com/threat-intelligence/who-knew-domain-hijacking-is-so-easy/ (src: https://www.bleepingcomputer.com/news/security/sitting-ducks-dns-attacks-let-hackers-hijack-over-35-000-domains/)

2024-07-23 Let's Encrypt mis-issued 34 certificates,revokes 27 for dydx.exchange: see #2/3 in this series of toots
[...]
Bovendien is DNS van oudsher een uitermate onveilig protocol en nee, dat is nog lang niet gefixed met wensdenken zoals DNSSEC, DoH en DoT. Maar zie vooral het volgende punt.

Door Named: Het enige risico dat dan overblijft is impersonate via nepwebsites, [...]
Dat "enige" risico leidt ertoe dat de wereld moord en brand schreeuwt over phishing maar niemand wil bewegen.

M.i. heb ik in https://security.nl/posting/884774 het probleem duidelijk uitgelegd a.d.h.v. de video.

Ook als er mensen zijn die het niet (willen of kunnen) inzien, het is simpelweg noodzakelijk dat je weet met wie je communiceert. Een verhuurde domeinnaam zegt niets over wie de huidige huurder is.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure