Linux minder last van DigiNotar-certificaten
Linux-systemen zullen waarschijnlijk minder last hebben van het intrekken van DigiNotar-certificaten dan Windows, aldus een factsheet van GovCERT. Microsoft zal morgen een update voor de “Certificate Store” uitbrengen. Daarin staan zowel vertrouwde als niet-vertrouwde certificaten. Naast Browsers kunnen ook andere applicaties hier gebruik van maken.
Binnen de Certificate Store zijn verschillende lijsten met certificaten aanwezig. De root Certificate Authorities (CA’s) zijn opgeslagen in de lijst met “Trusted Root Certification Authorities”. In deze lijst zijn onder meer de Diginotar root CA en de Staat der Nederlanden root CA’s aanwezig. Het Diginotar root CA is door Microsoft uit deze lijst verwijderd.
Linux
Bij Linux wordt een decentrale aanpak gehanteerd, aangezien een eenduidig mechanisme ontbreekt. Daarnaast is de toepassing van identieke pakketten op verschillende Linux-versies uiteenlopend. Het certificatenbeheer is hierdoor veelal applicatiespecifiek. Debian levert bijvoorbeeld met het ca-certificates package een lijst met vertrouwde root certificaten mee, waar het DigiNotar root certificaat binnenkort uit verwijderd zal worden.
Aangezien ca-certificates alleen root certificaten bevat, heeft dit géén consequenties voor DigiNotar PKIoverheid-certificaten. Ca-certificates is overigens ook beschikbaar voor andere distributies zoals Ubuntu en CentOS.
Roll-back
GovCERT waarschuwt dat door het verschil in aanpak de potentiële impact ook divers is. "Mocht u gebruikmaken van Microsoft producten, dan kunnen na het installeren van de update, problemen ontstaan. Machines die gebruik maken van DigiNotar certificaten voor wederzijdse communicatie zullen elkaar niet meer vertrouwen. Dit heeft gevolgen omdat er geen communicatie wordt opgezet tussen de systemen en er geen gegevenswisseling tussen de machines meer mogelijk is. Als één van de twee systemen de update gedraaid heeft kan dit probleem al optreden. "
Volgens de overheidsinstantie is het in kaart brengen van mogelijke problemen door automatische updates bij Linux een stuk moeilijker. "Op basis van de gebruikte oplossingen lijkt de kans op soortgelijke problemen qua omvang en impact als bij Microsoft onwaarschijnlijk."
In het geval van Windows updates is de installatie van de update terug te draaien, waardoor de Diginotar certificaten weer door het systeem worden vertrouwd. GovCERT adviseert dit alleen te doen als het noodzakelijk is.
Peter
Dat wil zeggen dat op basis van de policy de verbinding met de CA gereset kan worden.
In Mozilla firefox is een wijziging in de sourcecode gemaakt om zo betrouwbaar mogelijk alle door DigiNotar uitgegeven certificaten te kunnen blokkeren. En in http://social.technet.microsoft.com/Forums/en-AU/winserversecurity/thread/910914b5-db7d-4a6c-b1db-88bd16c85987 merkt user "Al.x" terecht op dat update (hotfix) KB2607712, naast het verwijderen van een DigiNotar root certificate en "blacklisten" van DigiNotar intermediate certificates, ook "crypt32.dll" vervangt door een nieuwe versie.
Het is nog onduidelijk waarom crypt32.dll wordt vervangen door KB2607712, maar het zou om een vergelijkbare wijziging kunnen gaan als Mozilla heeft doorgevoerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.