Google ontdekt valse SSL-certificaten voor Google-domeinen
Google heeft valse SSL-certificaten ontdekt die voor verschillende Google-domeinen waren uitgegeven en gebruikt hadden kunnen worden om internetgebruikers mee aan te vallen. De valse SSL-certificaten waren recent door een Indiase uitgever van SSL-certificaten uitgegeven en op 2 juli ontdekt.
SSL-certificaten worden gebruikt voor het identificeren van websites en het versleutelen van internetverkeer. Via de valse certificaten is het mogelijk voor een aanvaller die zich tussen bijvoorbeeld de gebruiker en een website bevindt om het verkeer te ontsleutelen en zo toegang tot gevoelige informatie te krijgen.
Vertrouwen
De valse SSL-certificaten in kwestie waren door het Indiase National Informatics Centre (NIC) uitgegeven dat weer door de Indiase Controller van Certifying Authorities (India CCA) wordt vertrouwd. De certificaten van India CCA staan standaard in de Microsoft Root Store en worden zodoende door een groot deel van de programma's die op Windows draaien vertrouwd, waaronder Internet Explorer en Google Chrome.
Doordat India CCA de SSL-certificaten van het Indiase NIC vertrouwt, vertrouwen ook de programma's op Windows die. Dit geldt echter niet voor Mozilla Firefox, omdat deze browser over een eigen root store beschikt waar de certificaten van India CCA niet in voorkomen. Ook in de root stores van andere besturingssystemen komt India CCA niet voor.
Daarnaast beschikt Google Chrome over een extra beveiligingsmaatregel zodat het valse SSL-certificaten die door een legitieme partij zijn uitgegeven toch kan herkennen. Zo werden de valse SSL-certificaten ontdekt die voor verschillende Google-domeinen bij de inmiddels failliete Beverwijkse SSL-uitgever DigiNotar waren uitgegeven.
Waarschuwing
Na de ontdekking op 2 juli waarschuwde Google zowel het Indiase NIC als India CCA en Microsoft over het incident en verstuurde een update waardoor de valse SSL-certificaten binnen Google Chrome werden geblokkeerd. Een dag later liet India CCA weten dat ze alle intermediate certificaten van het Indiase NIC heeft ingetrokken. Wederom bracht Google een update uit, waardoor deze certificaten van het Indiase NIC ook in Google Chrome werden ingetrokken.
Volgens Google zijn er geen aanwijzingen dat de valse SSL-certificaten op grote schaal zijn misbruikt en gebruikers zouden dan ook niet hun wachtwoorden hoeven te wijzigen. Aangezien het onderzoek naar het incident nog loopt zijn er geen verdere details beschikbaar.
"Done" en we kijken wel wat er gebeurt ;)
Ik zie dat er op de Mac geen enkel root-certificaat uit India aanwezig is.
Ik zie dat er op de Mac geen enkel root-certificaat uit India aanwezig is.
instantie in India en als resultaat daarvan moet je er als gebruiker van dat operating system op vertrouwen dat connecties
met de grootste concurrent van die fabrikant te vertrouwen zijn?
Ik geloof dat er iets helemaal fout zit met dit systeem...
instantie in India en als resultaat daarvan moet je er als gebruiker van dat operating system op vertrouwen dat connecties
met de grootste concurrent van die fabrikant te vertrouwen zijn?
Ik geloof dat er iets helemaal fout zit met dit systeem...
Dat is allang bekend. Dit systeem werkt hetzelfde als zoveel andere systemen. Denk aan de situatie waarbij mensen in facebook denken dat het goed gaat met de privacy instellingen, terwijl door het vriend van een vriend.... principe meer mensen toegang hebben dan gedacht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.