Tenminste 5 SSL-uitgevers sinds juni gehackt
Sinds juni van dit jaar zijn er tenminste vijf Certificate Authorities die SSL-certificaten uitgeven gehackt, zo meldt de Electronic Frontier Foundation (EFF). Via het eigen SSL Observatory bestudeerde de Amerikaanse digitale burgerrechtenbeweging alle Certificate Revocation Lists (CRLs). Hiermee kunnen uitgegeven certificaten worden ingetrokken, bijvoorbeeld als ze ten onrechte zijn uitgegeven, zoals bij DigiNotar het geval was. Bij de CRLs wordt ook de reden gemeld waarom een certificaat is ingetrokken.
Tijdens een recente scan van de CRLs kwam de EFF 248 gevallen tegen waarbij de Certificate Authority aangaf dat men gehackt was en dat daarom het certificaat moest worden ingetrokken. Zulke verklaringen werden door vijftien verschillende CA organisaties afgegeven. Bij een vorige scan in juni werd "gehackte Certificate Authority" door tien verschillende CA's als reden opgegeven.
"Aan de hand van deze gegevens kunnen we zien dat tenminste vijf Certificate Authorities de afgelopen vier maanden gehackt zijn", zegt Peter Eckersley. Volgens hem zouden via al deze incidenten de veiligheid van HTTPS-websites in het geding zijn.
Toch ook eigenlijk wel logisch.
We bouwen een trustmodel op basis van enkele partijen waarvan we zelf niet in de gaten houden of die wel trustworthy zijn?
Zaak is wel voor alle security-specialisten, en andersoortige (al dan niet zelfbenoemde) guru's, om dus ook goed uit te leggen dat dit niet perse een groter probleem hoeft te zijn dan dat je een corrupte postbode hebt die in je brieven snuffet, maw, het risico is klein, de gevolgen kunnen wel degelijk groot zijn.
Er wordt waarschijnlijk bedoeld:" de kans is klein, maar het risico is groot "
Risico = "Kans x Gevolgen"
zie ook: https://www.eff.org/files/colour_map_of_CAs.pdf
We moeten ophouden met naar gebruikers communiceren dat een slotje voor een beveiligde website staat. In het geding is niet de veiligheid van HTTPS-websites maar die van de gebruikers. Bij een PKI lek weten zij namelijk niet zeker of ze, als ze een slotje en de correcte hostnaam in de URL balk zien, daadwerkelijk met de bedoelde server communiceren.
M.i. belangrijker, met elk PKI lek is de veiligheid van alle computers die updaten (en daarbij gebruik maken van SSL/TLS verbindingen en/of PKI signed code) in het geding. Targeted attacks worden daardoor peuleschillen, en CRL's/OCSP zijn in zo'n situatie te onbetrouwbaar.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.