Nieuws
image

SSL-verstrekkers geven onveilige certificaten uit

dinsdag 11 september 2012, 15:04 door Redactie, 2 reacties

Ondanks vereisten voor veilige SSL-certificaten, zijn er nog steeds certificate authorities die onveilige certificaten verstrekken. Onveilige SSL-certificaten zijn eenvoudig te kraken en te gebruiken om slachtoffers naar valse websites door te sturen waarbij de browser geen alarm slaat. Het CA/Browser Forum, een consortium van certificate authorities, heeft 'baseline requirements' opgesteld waarin staat dat SSL-certificaten die na 31 december 2013 verlopen, over een 2048 bits RSA-sleutel moeten beschikken.

Toch zijn er verschillende forumleden, waaronder Trustwave, Symantec, KEYNECTIS en TAIWAN-CA, die tegen de richtlijnen in certificaten met korte sleutels hebben uitgegeven die na 2013 verlopen. "Dit toont dat de vereisten voor sleutellengte worden behandeld als richtlijn in plaats van regel", zegt Robert Duncan van internetbedrijf Netcraft.

In juli bleek dat certificate authority Swisscom zelfs een certificaat met een 512-bit RSA sleutel signeerde, ook al is al 12 jaar bekend dat deze sleutels te kraken zijn.

Reacties (2)
11-09-2012, 15:17 door Bitwiper
Ik ben benieuwd hoeveel certifcaten er daarnaast nog met een op MD5 gebaseerde handtekening worden uitgegeven...
11-09-2012, 16:19 door RichieB
Klein nuance verschil: de klanten maken de prive en publieke sleutels aan. Een CA ondertekent (signt) de publieke sleutel. Die sleutel en ondertekening vormen samen het SSL-Certificaat. Het is dus niet zo dat CAs korte sleutels genereren. Dat doen de klanten van die CAs. De CAs zouden alleen moeten weigeren om korte publieke sleutels te ondertekenen (zoals onderling is afgesproken).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search