Microsoft overweegt certificaatpinning in IE
Om gebruikers tegen aanvallen via vervalste certificaten te beschermen overweegt Microsoft om certificaatpinning aan Internet Explorer toe te voegen. Certificaatpinning moet aanvallen voorkomen waarbij aanvallers die zich tussen het slachtoffer en het internet bevinden frauduleus gegenereerde certificaten gebruiken om de gebruiker aan te vallen.
Voor het opzetten van beveiligde verbindingen werken websites met SSL-certificaten, die door certificaatautoriteiten (CA) worden uitgegeven. Een aanvaller die bij een CA weet in te breken en vervolgens een frauduleus SSL-certificaat genereert kan dit certificaat gebruiken voor een Man-in-the-Middle-aanval, waarbij de browser van de gebruiker geen waarschuwing geeft omdat het gebruikte certificaat van een geldige CA afkomstig is. Dit gebeurde bijvoorbeeld bij DigiNotar.
In het geval van certificaatpinning accepteert de browser alleen certificaten die door bepaalde CA's zijn uitgegeven. Als het certificaat door een CA is uitgegeven die niet op de whitelist staat geeft de browser een waarschuwing. Google Chrome ondersteunde deze maatregel als eerste en zorgde er zo voor dat de aanval op DigiNotar in de openbaarheid kwam. Een aanvaller had bij DigiNotar een frauduleus SSL-certificaat voor Google-domeinen gegenereerd dat tegen Iraanse internetgebruikers werd ingezet.
Andere browsers accepteerden het certificaat, maar Chrome sloeg alarm omdat DigiNotar niet op de lijst met gewhiteliste CA's stond die SSL-certificaten voor Google mogen uitgeven. In september van dit jaar voegde Mozilla certificaatpinning aan Firefox toe en nu blijkt ook Microsoft te overwegen om de maatregel aan toekomstige versies van IE toe te voegen.
is zodra je op een site bent, bijvoorbeeld RaboBank, dat je het gebruikte certificaat 'vast' zet,
zodra er een ander certificaat gebruikt wordt voor dit domein, je hier dus voor wordt gewaarschuwd.
(verlopen/vervanging van certificaten geeft dus melding).
ja je blijft altijd het punt houden waarom de 'eerste pin' misschien al fraudeleus is
en attacks op deze lijst.
http://blogs.technet.com/b/srd/archive/2014/11/10/emet-5-1-is-available.aspx
(het lijkt wel of iedere server in hun farm een eigen certificaat heeft, waardoor je de hele tijd die warnings krijgt)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.