image

Al 80.000 SSL-certificaten vervangen wegens Heartbleed-bug

woensdag 16 april 2014, 10:59 door Redactie, 2 reacties

Vanwege de Heartbleed-bug die sinds vorige week het internet in zijn greep houdt zijn al 80.000 SSL-certificaten vervangen. Het grootste deel van de ruim 500.000 certificaten die mogelijk risico loopt is vooralsnog niet vervangen, zo laat internetbedrijf Netcraft weten.

Via de Heartbleed-bug kan een aanvaller informatie uit het geheugen van een webserver stelen. Naast gegevens van gebruikers, zoals wachtwoorden en sessiecookies, blijkt het ook mogelijk te zijn om de privésleutel van SSL-certificaten buit te maken. SSL-certificaten worden gebruikt voor het identificeren van websites en versleutelen van verkeer tussen de website en bezoekers.

Een aanvaller die over de privésleutel beschikt kan in theorie het versleutelde verkeer ontsleutelen. Een maatregel zoals het gebruik van perfect forward secrecy (PFS) kan echter de schade beperken als de privésleutel wordt gecompromitteerd. Hierdoor wordt namelijk voor elke verbinding tussen de bezoeker en website een willekeurige sessiesleutel gegenereerd en gebruikt. Zodoende lopen gebruikers geen risico als de privésleutel van het SSL-certificaat wordt gecompromitteerd.

Kosten

Toch lijkt het erop dat veel websites hebben besloten om hun certificaat in te trekken en opnieuw uit te geven of een compleet nieuw certificaat aan te schaffen. Volgens Netcraft zou de hele operatie om alle kwetsbare certificaten te vervangen 100 miljoen dollar kunnen kosten, hoewel de meeste Certificate Authorities die SSL-certificaten uitgeven hun klanten kosteloos het certificaat laten intrekken en opnieuw uitgeven.

Veel websites, waaronder Yahoo, GitHub en Steam, hebben echter een compleet nieuw SSL-certificaat aangeschaft. Paul Mutton van Netcraft stelt dat dit mogelijk een eenvoudigere oplossing voor deze partijen was dan het intrekken en opnieuw uitgeven van de certificaten. In deze gevallen kan Heartbleed Certificate Authorities wel extra inkomsten opleveren, merkt Mutton op.

Ingetrokken certificaten

Een deel van de ingetrokken certificaten zal echter bruikbaar blijven omdat ze geen URL bevatten voor het Online Certificate Status Protocol (OCSP). Via dit protocol kunnen browsers controleren of een certificaat is ingetrokken of niet. 4% van de certificaten mist echter een URL voor OCSP. Een alternatief voor OCSP is de certificate revocation list (CRL). In het geval OCSP niet werkt kan de browser de CRL gebruiken. De laatste versie van Firefox werkt echter niet meer met een CRL.

Daarnaast introduceert het gebruik van een CRL ook praktische problemen. Zo moet een browser meer dan 100MB aan data downloaden om van alle Certificate Authorities de ingetrokken certificaten te kunnen bepalen. Iets wat bijvoorbeeld een probleem op mobiele toestellen kan zijn, maar ook op desktops blijkt het lastig te zijn om de lijsten te downloaden. Lijsten die dankzij Heartbleed met 35% in omvang zouden kunnen toenemen, waarschuwt Mutton.

Image

Reacties (2)
16-04-2014, 12:24 door [Account Verwijderd] - Bijgewerkt: 16-04-2014, 19:10
[Verwijderd]
17-04-2014, 13:32 door eMilt
Het is verbazend dat er (nog) zoveel gebrek aan kennis is betreffende SSL certificaten (ook hier op security.nl).

Vanuit het oogpunt van veiligheid is er geen verschil tussen een compleet nieuw certificaat kopen of een re-issue van een oud certificaat. Het enige verschil is de datum tot wanneer het certificaat geldig is. Als een certificaat wordt ge-re-issue'd blijft de geldigheidsdatum hetzelfde als het originele certificaat maar verder is er geen verschil met een nieuw certificaat.

Er wordt helaas veel gedacht dat een nieuw (of reissue) van een certificaat voldoende is maar dat is onjuist! Het gaat er juist om dat het oude certificaat wordt gerevoked, die zou namelijk mogelijk buit kunnen zijn gemaakt door bad guys via de heartbleed bug. Veel CA's revoken echter ook bij een re-issue niet automatisch het oude certificaat en al helemaal niet als je een nieuw certificaat koopt. Je moet hier expliciet om vragen. Vandaar dat het er ook nog "maar" (en niet "al" zoals in de titel staat) 80.000 zijn want ik denk dat er wel weer certificaten zijn vervangen maar helaas (nog) niet revoked.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.