Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
DigiNotar OCSP responses fout?
Momenteel zie ik DigiNotar foutieve OCSP responses geven als ik bijv. https://www.digid.nl, https://www.terneuzen.nl of https://secure.eindhoven.nl/ bezoek met Firefox (3.6.21). De reden daarvoor is dat ik Firefox zo heb ingesteld dat deze op OCSP moet checken (en stopt bij fouten).
Bij het bezoeken van bovengenoemde sites wordt er een OCSP request naar "validation.diginotar.nl" [143.177.3.45] gestuurd (de URL daarvoor staat in het certificaat dat de digid en terneuzen sites naar mijn webbrowser sturen). In het antwoord staat een timestamp die aangeeft wanneer dat antwoord is gegeneerd, en dat is structureel bijna 1 uur fout (de klok van mijn PC heb ik steeds correct geupdate via ntp):
Sep 3, 2011 23:26:49.799818000 request verzonden
Sep 3, 2011 23:26:50.056237000 response ontvangen
Response bevat: "producedAt: 2011-09-03 20:29:09 (UTC)"
Sep 3, 2011 23:55:32.217574000
Sep 3, 2011 23:55:32.409996000
Response bevat: "producedAt: 2011-09-03 20:57:51 (UTC)"
Daarnaast opende ik http://validation.diginotar.nl/ en kreeg op Sep 3, 2011 23:59:54.049186000 de volgende headers in het antwoord:
N.b. als ik OCSP checken uitzet in Firefox krijg ik geen foutmelding als ik de genoemde websites open, maar dat kan niet de bedoeling zijn...
Edit 00:30: diverse correcties. Waarom er lege regels in de grijze "code" sectie verschijnen is me een raadsel.
Bij het bezoeken van bovengenoemde sites wordt er een OCSP request naar "validation.diginotar.nl" [143.177.3.45] gestuurd (de URL daarvoor staat in het certificaat dat de digid en terneuzen sites naar mijn webbrowser sturen). In het antwoord staat een timestamp die aangeeft wanneer dat antwoord is gegeneerd, en dat is structureel bijna 1 uur fout (de klok van mijn PC heb ik steeds correct geupdate via ntp):
Sep 3, 2011 23:26:49.799818000 request verzonden
Sep 3, 2011 23:26:50.056237000 response ontvangen
Response bevat: "producedAt: 2011-09-03 20:29:09 (UTC)"
Sep 3, 2011 23:55:32.217574000
Sep 3, 2011 23:55:32.409996000
Response bevat: "producedAt: 2011-09-03 20:57:51 (UTC)"
Daarnaast opende ik http://validation.diginotar.nl/ en kreeg op Sep 3, 2011 23:59:54.049186000 de volgende headers in het antwoord:
HTTP/1.1 200 OK
Date: Sat, 03 Sep 2011 21:02:13 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
X-AspNet-Version: 2.0.50727
Cache-Control: private
Content-Type: text/html; charset=utf-8
Content-Length: 893
Set-Cookie: Coyote-2-a0a1414=a0a5015:0; path=/
Kortom, de klok lijkt daar niet goed meer te lopen. Dit heeft consequenties voor websites waarbij van een wel vertrouwde root CA (Staat der Nederlanden root certificaat) gebruik gemaakt wordt!Date: Sat, 03 Sep 2011 21:02:13 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
X-AspNet-Version: 2.0.50727
Cache-Control: private
Content-Type: text/html; charset=utf-8
Content-Length: 893
Set-Cookie: Coyote-2-a0a1414=a0a5015:0; path=/
N.b. als ik OCSP checken uitzet in Firefox krijg ik geen foutmelding als ik de genoemde websites open, maar dat kan niet de bedoeling zijn...
Edit 00:30: diverse correcties. Waarom er lege regels in de grijze "code" sectie verschijnen is me een raadsel.
Reacties (11)
Werkt ook zo met Firefox 6.0/6.01.
Wat verder opvalt is dat dat de web site niet gehardend is. De ASP.NET versie moet je niet meesturen.
Wat verder opvalt is dat dat de web site niet gehardend is. De ASP.NET versie moet je niet meesturen.
De paar minuten afwijking (die ze voorlopen) is vragen om problemen ja, maar voor de rest is het gewoon de standaard GMT+2 delta die je ziet.
Dat van die klok via http controleren noem ik niet betrouwbaar: wie zegt dat die http server dezelfde is als de voor de oscp... Als ze het op dezelfde machine hebben staan is dat weinig veilig.
04-09-2011, 12:42 door
Bitwiper
Net nog even gecheckt: (data uit Wireshark terwijl ik met Firefox met OCSP checking aan https://www.digid.nl/ open):
Sep 4, 2011 12:37:54.992436000 request verzonden
Sep 4, 2011 12:37:55.189072000 response ontvangen
Response bevat: "producedAt: 2011-09-04 09:40:14 (UTC)"
09:40:14 UTC is 11:40:14 Nederlandse tijd, dus bijna 1 uur fout.
Sep 4, 2011 12:37:54.992436000 request verzonden
Sep 4, 2011 12:37:55.189072000 response ontvangen
Response bevat: "producedAt: 2011-09-04 09:40:14 (UTC)"
09:40:14 UTC is 11:40:14 Nederlandse tijd, dus bijna 1 uur fout.
04-09-2011, 15:07 door
Unit 10 Forensics
@Bitwiper de Minister heeft aangegeven dat je geen gebruik meer moet maken van DigiNotar gerelateerde websites, ik zie al dagen de meest vreemde acties na een challenge. M.a.w. ik denk dat de webomgeving al in staat van ontbinding verkeerd, waarom deze nog steeds niet op zwart is gegaan is mij voorlopig nog een raadsel. Hopelijk wordt de komende 48 uur duidelijk waarom DigiNotar nog nergens op heeft gereageerd....
04-09-2011, 16:27 door
Bitwiper
Dank voor de reacties!
(1) De suggestie wordt steeds gewekt dat je een website NIET moet bezoeken als je een waarschuwing ziet. Dit is crap omdat veel webbrowsers (afhankelijk van versie, instellingen en laatste update) geen waarschuwing geven als een website wordt bezocht die van een DigiNotar certificaat gebruik maakt. E.e.a. is natuulijk niet alleen de schuld van de minister, maar van de crappy manier waarop webbrowsers met revocation omgaan.
(2) Update je webbrowser! Als je dat niet doet is de kans nog veen groter dat je geen foutmelding krijgt terwijl dat wel zou moeten, nl. omdat er een (intermediate) certificaat van DigiNotar in het spel is!
Bovendien, hoe weet je -als leek- dat een website van een DigiNotar certificaat gebruik maakt?
Zie ook http://www.security.nl/artikel/38352/1/Uitleg_DigiNotar_problematiek.html.
Door Unit10:
@Bitwiper de Minister heeft aangegeven dat je geen gebruik meer moet maken van DigiNotar gerelateerde websites, ik zie al dagen de meest vreemde acties na een challenge. M.a.w. ik denk dat de webomgeving al in staat van ontbinding verkeerd, waarom deze nog steeds niet op zwart is gegaan is mij voorlopig nog een raadsel. Hopelijk wordt de komende 48 uur duidelijk waarom DigiNotar nog nergens op heeft gereageerd....
Ik heb gisteren de minister 2 belangrijke zaken NIET horen noemen (en ook op het journaal en in gepubliceerde toelichtingen wordt dit niet duidelijk):@Bitwiper de Minister heeft aangegeven dat je geen gebruik meer moet maken van DigiNotar gerelateerde websites, ik zie al dagen de meest vreemde acties na een challenge. M.a.w. ik denk dat de webomgeving al in staat van ontbinding verkeerd, waarom deze nog steeds niet op zwart is gegaan is mij voorlopig nog een raadsel. Hopelijk wordt de komende 48 uur duidelijk waarom DigiNotar nog nergens op heeft gereageerd....
(1) De suggestie wordt steeds gewekt dat je een website NIET moet bezoeken als je een waarschuwing ziet. Dit is crap omdat veel webbrowsers (afhankelijk van versie, instellingen en laatste update) geen waarschuwing geven als een website wordt bezocht die van een DigiNotar certificaat gebruik maakt. E.e.a. is natuulijk niet alleen de schuld van de minister, maar van de crappy manier waarop webbrowsers met revocation omgaan.
(2) Update je webbrowser! Als je dat niet doet is de kans nog veen groter dat je geen foutmelding krijgt terwijl dat wel zou moeten, nl. omdat er een (intermediate) certificaat van DigiNotar in het spel is!
Bovendien, hoe weet je -als leek- dat een website van een DigiNotar certificaat gebruik maakt?
Zie ook http://www.security.nl/artikel/38352/1/Uitleg_DigiNotar_problematiek.html.
04-09-2011, 19:11 door
Bitwiper
Het probleem lijkt ondertussen te zijn opgelost, als ik bijv. naar https://www.terneuzen.nl/ ga krijg ik geen waarschuwing meer:
Sep 4, 2011 19:02:45.204723000 request verzonden
Sep 4, 2011 19:02:45.397569000 response ontvangen
Response bevat: "producedAt: 2011-09-04 17:02:45 (UTC)"
N.b. de certificaat hiërachie voor https://www.terneuzen.nl/ is:
Voor uitleg zie http://www.security.nl/artikel/38352/1/Uitleg_DigiNotar_problematiek.html.
Sep 4, 2011 19:02:45.204723000 request verzonden
Sep 4, 2011 19:02:45.397569000 response ontvangen
Response bevat: "producedAt: 2011-09-04 17:02:45 (UTC)"
N.b. de certificaat hiërachie voor https://www.terneuzen.nl/ is:
(A) Staat der Nederlanden Root CA
- Issuer: Staat der Nederlanden Root CA (dit is een "self-signed" certificate)
- OCSP: geen
- CRL: geen
(B) Staat der Nederlanden Overheid CA
- Issuer: Staat der Nederlanden Root CA
- OCSP: geen
- CRL: http://crl.pkioverheid.nl/LatestCRL.crl
(C) DigiNotar PKIoverheid CA Overheid en Bedrijven
- Issuer: Staat der Nederlanden Overheid CA
- Serienummer: 0x013169B0
- OCSP: geen
- CRL: http://crl.pkioverheid.nl/DomOvLatestCRL.crl (0x013169B0 is NIET ingetrokken)
(D) www.terneuzen.nl
- Issuer: DigiNotar PKIoverheid CA Overheid en Bedrijven
- Serienummer: 08:F6:24:95:1A:A8:58:9F:8D:79:02:23:54:11:19:55
- OCSP: http://validation.diginotar.nl
- CRL: http://service.diginotar.nl/crl/PKIOverheidenBedrijven/latestCRL.crl
- Issuer: Staat der Nederlanden Root CA (dit is een "self-signed" certificate)
- OCSP: geen
- CRL: geen
(B) Staat der Nederlanden Overheid CA
- Issuer: Staat der Nederlanden Root CA
- OCSP: geen
- CRL: http://crl.pkioverheid.nl/LatestCRL.crl
(C) DigiNotar PKIoverheid CA Overheid en Bedrijven
- Issuer: Staat der Nederlanden Overheid CA
- Serienummer: 0x013169B0
- OCSP: geen
- CRL: http://crl.pkioverheid.nl/DomOvLatestCRL.crl (0x013169B0 is NIET ingetrokken)
(D) www.terneuzen.nl
- Issuer: DigiNotar PKIoverheid CA Overheid en Bedrijven
- Serienummer: 08:F6:24:95:1A:A8:58:9F:8D:79:02:23:54:11:19:55
- OCSP: http://validation.diginotar.nl
- CRL: http://service.diginotar.nl/crl/PKIOverheidenBedrijven/latestCRL.crl
Voor uitleg zie http://www.security.nl/artikel/38352/1/Uitleg_DigiNotar_problematiek.html.
Door Bitwiper: De suggestie wordt steeds gewekt dat je een website NIET moet bezoeken als je een waarschuwing ziet. Dit is crap omdat veel webbrowsers (afhankelijk van versie, instellingen en laatste update) geen waarschuwing geven als een website wordt bezocht die van een DigiNotar certificaat gebruik maakt.
Geheel terecht, dat de minister het advies geeft om bij een waarschuwing een website maar niet te bezoeken. Het gaat om risico nemen en een up-to-date browser geeft niet voor niets een waarschuwing aan de gebruiker die het meestal toch niet snapt. Als je het een verkeerd advies vind dan kunnen we net zo goed het 'let op het slotje' de prullenbak in gooien en iedere gebruiker maar van het internet weren. We moeten ergens beginnen om dummies wijs te maken. Had de minister er nog wat bij moeten zeggen? Ja, punt 2 - update je software - dus je browser. Maar dat is iets wat je eigenlijk al moet doen en dan zijn er nog wel een berg andere opmerkingen te noemen die de minister had kunnen zeggen. Maar het gaat hier om welk risico je neemt rond het vertrouwen van DigiNotar. En daar is goed op ingegaan.
05-09-2011, 21:07 door
Bitwiper
Door Anoniem:
Geheel mee eens! Ik heb het niet duidelijk geschreven. Wat ik bedoelde was dat "de suggestie steeds gewekt wordt dat je een website slechts dan NIET moet bezoeken als je een waarschuwing ziet, en dat het veilig is als je geen waarschuwing ziet" (vertel dat maar aan mogelijke getroffen Iraniërs met een andere webrowser dan Chrome). Door Bitwiper: De suggestie wordt steeds gewekt dat je een website NIET moet bezoeken als je een waarschuwing ziet. Dit is crap omdat veel webbrowsers (afhankelijk van versie, instellingen en laatste update) geen waarschuwing geven als een website wordt bezocht die van een DigiNotar certificaat gebruik maakt.
Geheel terecht, dat de minister het advies geeft om bij een waarschuwing een website maar niet te bezoeken. Het gaat om risico nemen en een up-to-date browser geeft niet voor niets een waarschuwing aan de gebruiker die het meestal toch niet snapt.
Het probleem is dat, ook vandaag nog, heel veel up-to-date webbrowsers nog helemaal geen waarschuwing geven bij het bezoeken van een website die gebruik maakt van een (intermediate) DigiNotar certificaat. Voorbeelden: https://beeldbank.rws.nl/ en https://formulieren.provinciegroningen.nl/.Zowieso is OSCP een protocol van niets. moxie marlinspike heeft hier veel over geschreven en op Blackhat conferenties over gesproken. Komt neer dat je die requests kunt onderscheppen en kan sturen "temporarily not available" waarna practisch alle browsers hier geen melding van maken.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.