Navigatie overslaan.
Start

Comodo

Een ander interessant iets dat de afgelopen dagen de revu gepasseerd is, is het feit dat er 9 SSL Extended Verification (EV) certificaten ondertekend werden door Comodo.
Daar is natuurlijk op zich niet raar, want Comodo is een CA, en dat is hun business.

Het "leuke" is het feit dat er CSR's ondertekend werden voor een IP adres in Iran voor de volgende domeinen:

  • mail.google.com
  • login.live.com
  • www.google.com
  • login.yahoo.com (3 keer)
  • login.skype.com
  • addons.mozilla.org

Nog leuker is dat er manieren zijn om dergelijke certificaten te revoken, maar geen enkele daarvan is eigenlijk geschikt om in geval van een dergelijke hack gebruikt te kunnen worden.
De enige manier om misbruik te voorkomen is om Firefox, IE, of alle andere software die met certificaten werkt te patchen, hetgeen ook inmiddels gebeurd is in de meeste gevallen.

U hoort het goed: Omdat er ergens in de wereld een CA gehacked wordt, waar ik totaal geen zaken mee doe, moet ik toch mijn systemen patchen om veilig te zijn, omdat die CA het nalaat om security best practices te volgen en geen CRL gebruikt.
Dit is hetgeen vele mensen vergeten: SSL is slechts to sterk als de zwakste CA!

Het eerste dat ik doe, is eigenlijk met lijst van vertrouwde CA's in mijn browser en O.S. opruimen.
Ik zie geen enkele reden om "TÜRKTRUST Bilgi ?leti?im ve Bili?im Güvenli?i Hizmetleri A.?.", "Chunghwa Telecom Co., Ltd.", en een 600-tal andere certificaten blindelings te vertrouwen.

Een certificaat zoals "login.yahoo.com" wordt als geldig aanzien, als het door 1 van die 600 CA's ondertekend werd. Dat zijn dus 600 mogelijke points of attack.

Een deel van die CA's wordt gecontroleerd door overheden in bepaalde repressieve landen.
Het is al langer geweten dat die landen ook daadwerkelijk certs voor login.yahoo.com, etc... hebben ondertekend door hun CA om het SSL verkeer van hun onderdanen te kunnen onderscheppen.
Het is een publiek geheim dat https verkeer in China, Iran, etc... voor bepaalde domeinen onderschept wordt door de overheid.

Omdat veel onderdanen dat inmiddels doorhebben, en de certificaten van hun overheid niet vertrouwen, is de comodo attack volgens mijn daarom ook een manier voor de Iraanse overheid om geldige certificaten te bemachtigen die door een externe partij werden ondertekend om toch onderschept SSL verkeer de kunnen decrypteren.

Een bedrijf dat slim is, gebruikt intern geen enkel SSL certificaat dat door een externe partij is ondertekend, maar enkel certificaten die door hun eigen CA zijn uitgegeven. Het is ook enkel die CA die vertrouwd wordt.
Natuurlijk is er nog het probleem met de publieke SSL website. Hier is het helaas kiezen voor de minst slechte CA, want een goede CA bestaat niet.

Dit is een CA die CRLs published, en die een goed security track record heeft.
Helaas zijn er dat niet zo heel veel...