ocsp.thawte.com probleem (relatie xs4all DDoS?)
Ik heb problemen met https sites die thawte certificaten gebruiken: ik heb in Firefox namelijk ingesteld staan dat als OCSP checks niet werken, de verbinding moet worden geweigerd. Als ik die eis weghaal duurt het nog steeds meerdere seconden voordat bijv. https://www.google.com/ en https://secure.security.nl/ openen.
Nu ben ik xs4all klant, maar ik vraag me af of de problemen die ik zie iets te maken hebben met de DDoS aanvallen op xs4all van vandaag.
De primaire oorzaak van het probleem [i]lijkt[/i] dat ocsp.thawte.com niet resolved (maar verder alles wat ik check wel): [code]C:\>nslookup ocsp.thawte.com
Server: resolver.xs4all.nl
Address: 194.109.6.66
DNS request timed out.
timeout was 2 seconds.
*** resolver.xs4all.nl can't find ocsp.thawte.com: Server failed
C:\>nslookup www.thawte.com
Server: resolver.xs4all.nl
Address: 194.109.6.66
Non-authoritative answer:
Name: www-thawte-ilg.verisign.net
Address: 69.58.181.130
Aliases: www.thawte.com[/code] (sorry voor de lege regels ertussen, oorzaak is een security.nl bug bij "code" regels in het bovenste bericht).
Interessant is dat USA DNS servers (nog/al) wel werken: zie bijv. [url]http://network-tools.com/default.asp?prog=lookup&host=ocsp.thawte.com[/url] of vul ocsp.thawte.com in op [url]http://www.geektools.com/digtool.php[/url]. Het lijkt dus een xs4all DNS probleem.
Echter, als ik 1 van de IP adressen van ocsp.thawte.com in m'n hosts file opneem werkt het nog steeds niet!
Nb. ocsp.thawte.com heeft meerdere adressen, zie bijv. message 3 in [url]http://community.arubanetworks.com/t5/ArubaOS-and-Controllers/OCSP-on-Firefox/td-p/11129[/url]. Ik heb "199.7.50.72 ocsp.thawte.com" en "199.7.55.72 ocsp.thawte.com" geprobeerd.
Hoe dan ook, het is een zeer onbevredigende situatie dat OCSP van thawte niet werkt!
Zien jullie (bij andere ISP's of ook bij xs4all.nl) dit ook? Heeft iemand een verklaring?
Behalve dat als mogelijke aanvallers de OCSP server platleggen, Firefox met standaard instellingen dus geen waarschuwing geeft, is er nog een zwakte-punt.
Als ik de uitleg in het Firefox OCSP-menu goed begrijp wordt een certificaat via OCSP gevalideerd via een door het certificaat gespecificeerde OCSP server, ALS er 1 wordt gespecificeerd. Dus als een website is gehacked of er een Man-in-the-Middle aanval word uitgevoerd kunnen de aanvallers in hun valse certificaat gewoon geen OCSP server specificeren of een eigen server opgeven. Het is in Firefox iig wel mogelijk om zelf een OCSP server te specificeren die alle certificaten moet valideren.
monitor:~# dig -t A ocsp.thawte.com
; <<>> DiG 9.6-ESV-R4 <<>> -t A ocsp.thawte.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15175
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;ocsp.thawte.com. IN A
;; ANSWER SECTION:
ocsp.thawte.com. 334 IN CNAME ocsp.verisign.net.
ocsp.verisign.net. 1 IN A 199.7.55.72
;; Query time: 33 msec
;; SERVER: 192.168.1.4#53(192.168.1.4)
;; WHEN: Wed Apr 18 11:08:10 2012
;; MSG SIZE rcvd: 80
monitor:~#
Op dit moment werken de lookups weer (met beide DNS servers 194.109.6.66 en 194.109.9.99). Eerder vandaag had ik helaas geen gelegenheid dit te testen.
Zowel DNS als antwoord werken nu. Ik heb geen idee wat er aan de hand was.
nslookup
> server 4.2.2.4
Default Server: [4.2.2.4]
Address: 4.2.2.4
> ocsp.thawte.com
Server: [4.2.2.4]
Address: 4.2.2.4
Non-authoritative answer:
Name: ocsp.verisign.net
Address: 199.7.50.72
Aliases: ocsp.thawte.com
>
Op dit moment werken de lookups weer (met beide DNS servers 194.109.6.66 en 194.109.9.99). Eerder vandaag had ik helaas geen gelegenheid dit te testen.
Zowel DNS als antwoord werken nu. Ik heb geen idee wat er aan de hand was.
In een Usenet posting van Mike (van xs4all) bleek dat het collateral damage was van de DDoS . Er waren vrij brede filters gezet omdat er heel veel sources waren, en ook de NS'en van ocsp.thawte.com zaten in de buurt van van DoS source IPs.
Het is inmiddels gefixed.
(@dutchfish : je zegt er niet bij of je het ook vanuit het xs4all netwerk probeerde)
En wellicht zaten 199.7.50.72 en 199.7.55.72 ook in de buurt van de DDoSers, dat zou verklaren waarom ik met een van die adressen gevolgd door "ocsp.thawte.com" in m'n hosts file vanaf m'n xs4all account ook niet kon bereiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.