image

Comodo geeft 8 niet toegestane SSL-certificaten uit

dinsdag 10 november 2015, 10:14 door Redactie, 9 reacties
Laatst bijgewerkt: 10-11-2015, 14:43

Certificaatautoriteit Comodo heeft acht SSL-certificaten uitgegeven die niet zijn toegestaan, wat volgens het bedrijf door een bug in het uitgiftesysteem komt. Rob Stradling van Comodo maakte het incident gisteren op de mailinglist van het Certification Authority Browser Forum bekend. Dit is een consortium van certificaatautoriteiten en ontwikkelaars van browsers en besturingssystemen.

Het Forum stelt richtlijnen op voor de uitgifte van SSL-certificaten. Eén van die regels, die in 2012 al werd opgesteld, stelt dat certificaatautoriteiten geen certificaten mogen uitgeven met een verloopdatum van na 1 november 2015 waarin een gereserveerd IP-adres of interne servernaam is opgenomen. Een aanvaller zou met deze certificaten man-in-the-middle-aanvallen op gesloten netwerken kunnen uitvoeren, zoals openbare of zakelijke wifi-netwerken. Iets dat Comodo zelf vorig jaar nog naar klanten toe communiceerde.

Om ervoor te zorgen dat Comodo zich aan de regels van het Forum houdt voert het bedrijf regelmatig controles uit. Daarbij werden op 5 november acht certificaten gevonden waarvan de verloopdatum na 1 november ligt. In het uitgiftesysteem van certificaten had Comodo eerst een "notAfter date" controle opgenomen, maar deze beperking werd door een aanpassing aan de code op 30 oktober ongedaan gemaakt. Nadat het probleem was ontdekt heeft Comodo die verholpen en de inmiddels uitgegeven certificaten ingetrokken. Daarnaast zal het bedrijf maatregelen nemen om herhaling te voorkomen.

Reacties (9)
10-11-2015, 11:28 door Anoniem
verloopdatum van 1 november 2015 waarin een gereserveerd IP-adres

Dit moet natuurlijk een verloopdatum van NA 1 november 2015 zijn.

Daarnaast vroeg ik me af wat een gereserveerd IP adres is. Alle IP adressen waar middels een naam naar verwezen wordt, zijn toch in principe "gereserveerd"? Maar de afspraken kennende neem ik aan dat hier een RFC 1918 of RFC 4193 adres wordt bedoeld.

Peter
10-11-2015, 11:58 door Briolet
Door Anoniem:Dit moet natuurlijk een verloopdatum van NA 1 november 2015 zijn.
Ik snapte ook niets van het verhaal, maar toen ik na jouw reactie de tekst herlas, stond het er inmiddels wel correct.
10-11-2015, 13:38 door Overcome
Daarbij werden op 5 november achter certificaten gevonden waarvan de verloopdatum na 1 november ligt.

Dat zal waarschijnlijk acht moeten zijn.

Wel goed om te lezen dat op deze manier openheid van zaken wordt gegeven.
10-11-2015, 14:24 door Anoniem
of 'echter'
Door Overcome:
Daarbij werden op 5 november achter certificaten gevonden waarvan de verloopdatum na 1 november ligt.

Dat zal waarschijnlijk acht moeten zijn.

of 'echter'
10-11-2015, 15:54 door Anoniem
Wat de verwarringen betreft

Zoals vaak het geval staat de meer originele bron hier
http://arstechnica.com/security/2015/11/https-certificates-with-forbidden-domains-issued-by-quite-a-few-cas/
Op Arstechnica.com, Wired.com, Tweakers.net en nu.nl staat het nieuws vaak net even wat eerder dan op security.nl .

Overigens putten die andere en overige Nederlandse nieuwsmedia zelf meestal ook uit de achtergrondartikelen van arstechnica.com/security en wired.com/security .
Dat is niet altijd meteen duidelijk omdat de truuk dan is andere bronnen te vinden die ze kunnen noemen in het artikel.
Anders wordt het te opzichtig welke berg aan nieuws direct van deze twee sites komt.

'Geeft allemaal niets', het is maar dat je het 'weet' en het is toch een prettige samenvat en vertaalservice voor als je in het engels lezen net even wat te vermoeiend vindt.
Dus, heb je vragen, kijk dan even bij Arstechnica, Wired of een van die andere media voor een andere versie van hetzelfde nieuws dat niet zelden ook nog eens een dag(deel) eerder is.
10-11-2015, 16:34 door Korund
Hier worden de niet-routeerbare adressen uit de ip-reeksen 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 (https://nl.wikipedia.org/wiki/RFC_1918).
Adressen uit deze reeksen zijn niet uniek, maar komen meerdere malen op internet voor, namelijk binnen alle bedrijfsnetwerken. Dit geldt ook voor interne servernamen die vrijelijk te kiezen zijn en dus niet uniek hoeven te zijn.
Juist die niet-uniciteit levert het veiligheidsgat op: het certificaat dat je hebt aangeschaft voor het ene bedrijfsnetwerk zou je voor een MITM-attack kunnen inzetten op een ander (bedrijfs)netwerk. Omdat het ondertekend is door een betrouwbare uitgever (Comodo) wordt de attack niet opgemerkt.
Daarom moeten de interne certificaten ondertekend worden door de interne CA van het bedrijf. Deze CA zal door browsers van andere bedrijven als "niet betrouwbaar" aangemerkt worden.
10-11-2015, 17:16 door Anoniem

Dus, heb je vragen, kijk dan even bij Arstechnica, Wired of een van die andere media voor een andere versie van hetzelfde nieuws dat niet zelden ook nog eens een dag(deel) eerder is.

Niet voor het een of ander, maar op security.nl heb ik het nieuws over de Linux ransomware toch eerder gelezen

6 november https://www.security.nl/posting/450253/Linuxgebruikers+doelwit+van+nieuwe+ransomware
9 november http://arstechnica.com/security/2015/11/new-encryption-ransomware-targets-linux-systems/

om maar een voorbeeld te geven. Beter dat je zoveel mogelijk bronnen in de gaten houdt!
10-11-2015, 19:14 door Anoniem
@ 15:54 Tweakers en Nu.nl???? .... sure...

15 oktober https://www.security.nl/posting/447493/Bedrijf+claimt+bijna+1_000+nieuwe+Mac-malware+in+2015

5 november http://www.nu.nl/gadgets/4159087/malware-mac-in-2015-vervijfvoudigd.html
5 november http://tweakers.net/nieuws/106164/beveiligingsbedrijf-malware-voor-os-x-maakt-grote-groei-door.html
10-11-2015, 19:25 door Anoniem
@ wijsneusjes 17:16 19:14
Wat zou (quote) "niet zelden" toch in deze context kunnen betekenen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.