image

CERT/CC waarschuwt voor e-mailcontrole bij SSL-certificaten

zaterdag 28 maart 2015, 07:03 door Redactie, 5 reacties

Veel certificaatautoriteiten (CA's) die SSL-certificaten uitgegeven kijken alleen naar het bezit van verschillende e-mailadressen, waardoor een aanvaller legitieme SSL-certificaten in handen kan krijgen die vervolgens voor phishingaanvallen en Man-in-the-Middle-aanvallen kunnen worden gebruikt.

Daarvoor waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Onlangs slaagden internetgebruikers erin om SSL-certificaten voor domeinen van Microsoft en XS4ALL aan te vragen. In het geval van Microsoft had een Finse systeembeheerder de alias hostmaster@live.fi aangemaakt, terwijl een klant van XS4ALL.nl de alias administrator@xs4all.nl kon instellen. Beide gebruikers benaderden vervolgens een CA en konden via de aliassen bevestigen dat ze de eigenaar van het domein waren, waarop ze het SSL-certificaat met bijbehorende privésleutel kregen.

Volgens het CERT/CC lopen vooral domeinen die voor e-maildoeleinden worden gebruikt een verhoogd risico. "Als een gebruiker één van de beschikbare adressen kan registreren die een root CA voor het aanvragen van SSL-certificaten accepteert, dan kan die gebruiker geldige SSL-certificaten voor dat domein aanschaffen." Doordat het om een geldig SSL-certificaat gaat zal de browser, indien het certificaat voor een aanval wordt gebruikt, geen alarm slaan.

Geen oplossing

Het CERT/CC heeft op dit moment nog geen praktische oplossing. Wel wordt er aangeraden om toegang tot gevoelige accounts te blokkeren, zoals admin, administrator, webmaster, hostmaster en postmaster @domeinnaam, maar ook root, ssladmin, info, is, it, mis, ssladministrator en sslwebmaster @domeinnaam. In het geval deze e-mailadressen of aliassen al door gebruikers zijn geregistreerd moeten die accounts worden uitgeschakeld, aldus het advies van het CERT/CC. De organisatie heeft een overzicht van CA's gepubliceerd, waaruit blijkt dat het probleem bij een groot aantal partijen speelt.

Reacties (5)
28-03-2015, 21:28 door Anoniem
Iets met 'goed'koop en snelle levertijden. (lees instant)

Zucht...........

Dit gebeurt al zeker 10+ jaren bij met name prijsvechtende CA's die uitblinken in
verwerkingssnelheid en zeer scherpe prijzen.

Certificaten aanschaffen alsof je een kroket uit de muur trekt.

Commercie boven veiligheid. :)

fail!
28-03-2015, 23:06 door Eric-Jan H te D
Alleen versturen naar een bij het Domein geregistreerd Email-adres lijkt me.
29-03-2015, 17:59 door [Account Verwijderd]
[Verwijderd]
29-03-2015, 21:12 door Anoniem
Beide gebruikers benaderden vervolgens een CA en konden via de aliassen bevestigen dat ze de eigenaar van het domein waren, waarop ze het SSL-certificaat met bijbehorende privésleutel kregen.

Dit klopt niet, de privesleutel hebben ze al, alleen is de csr door de CA ondertekend, waardoor het een getrust certificaat wordt.
30-03-2015, 12:32 door [Account Verwijderd] - Bijgewerkt: 30-03-2015, 12:33
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.