30.000 SSL-certificaten kwetsbaar door sleutel-blunder
Meer dan 30.000 SSL-certificaten die wegens de Heartbleed-bug in OpenSSL werden vervangen zijn mogelijk kwetsbaar omdat de nieuwe SSL-certificaten dezelfde potentieel kwetsbare privésleutel gebruiken. Dat ontdekte internetbedrijf Netcraft na onderzoek naar door Heartbleed getroffen websites.
SSL-certificaten worden gebruikt voor het identificeren van websites en het versleutelen van verkeer tussen website en bezoekers. De certificaten beschikken over een publieke sleutel die wordt gegenereerd aan de hand van de bijbehorende privésleutel. Bij het opzetten van een beveiligde verbinding bewijst de server dat het de privésleutel heeft door berichten te ontsleutelen die met de publieke sleutel waren versleuteld, of door het cryptografisch signeren van de eigen berichten.
Een aanvaller die de privésleutel weet buit te maken is in staat, als er bijvoorbeeld geen perfect forward secrecy wordt gebruikt waar elke sessie over een unieke sleutel beschikt, om het verkeer te ontsleutelen. Ook is het mogelijk om een man-in-the-middle-aanval uit te voeren en phishingsites op te zetten. De Heartbleed-bug in OpenSSL maakte het mogelijk om informatie uit het geheugen van webservers te stelen, waaronder ook de privésleutel van SSL-certificaten.
Vervanging
Vanwege Heartbleed besloten veel websites compleet nieuwe SSL-certificaten aan te schaffen of bestaande certificaten te vervangen. Er blijken echter veel websites te zijn die voor meer dan 30.000 vervangende certificaten dezelfde privésleutel hebben gebruikt. De websites lopen daardoor nog steeds hetzelfde risico als voor de vervanging van de certificaten. Paul Mutton van Netcraft merkt op dat het met een gestolen privésleutel nog steeds mogelijk is om het nieuwe SSL-certificaat te imiteren, zelfs als het oude certificaat is ingetrokken.
Van de websites die risico door de Heartbleed-bug lopen heeft 57% nog geen enkele actie ondernomen, terwijl 43% het oude SSL-certificaat heeft vervangen. 21% heeft de SSL-certificaten met een nieuwe privésleutel vervangen, maar de oude certificaten niet ingetrokken. 5% van de sites heeft de fout gemaakt door nieuwe certificaten uit te geven zonder de privésleutel te wijzigen.
Mutton merkt op dat veel beheerders van deze sites denken dat ze veilig zijn en het probleem hebben opgelost. 2% heeft en dezelfde privésleutel hergebruikt en het oude certificaat niet ingetrokken. Slechts 14% van de websites die kwetsbaar waren heeft alle drie de stappen doorlopen: vervangen van het SSL-certificaat, het gebruik van een andere privésleutel en het intrekken van het oude certificaat.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.