StartSSL-lek liet aanvaller willekeurige certificaten uitgeven
Een beveiligingslek in het controleproces van certificaatautoriteit StartSSL maakte het mogelijk voor aanvallers om ssl-certificaten voor domeinen uit te geven waarvan ze niet de eigenaar zijn. Het probleem werd door de Saoedische beveiligingsonderzoeker Osama Almanna ontdekt.
Om aan te tonen dat iemand eigenaar is van een domein maakt StartSSL gebruik van een vooraf gedefinieerde lijst van e-mailadressen, zoals webmaster, postmaster of hostmaster, gevolgd door de betreffende domeinnaam, aldus de onderzoeker. De invoer van gebruikers werd echter niet goed gecontroleerd, waardoor het mogelijk was om het http-verzoek aan te passen en daar een ander e-mailadres in te vullen. StartSSL stuurde vervolgens de verificatiecode om aan te geven dat iemand de eigenaar van een domein is naar het aangepaste e-mailadres.
Vervolgens was het mogelijk voor een aanvaller om met deze code een ssl-certificaat voor het domein aan te vragen. Na te zijn ingelicht heeft StartSSL de problemen verholpen. In een reactie op de eigen website stelt de certificaatautoriteit dat het rapport van de onderzoeker niet helemaal klopt. Zo staat het e-mailadres dat voor de controle wordt gebruikt in de whois-gegevens. Het bedrijf ontkent het beveiligingslek echter niet.
Certificaattransparantie
Daarnaast heeft StartSSL aangekondigd dat het informatie over alle uitgegeven certificaten in een log voor certificaattransparantie (CT) gaat bijhouden. CT is een door Google ontwikkelde technologie en is bedoeld om verschillende structurele fouten in het ssl-certificaatsysteem te verhelpen. Daardoor moeten onterecht uitgegeven en malafide ssl-certificaten eerder worden ontdekt.
In het CT-ecosysteem verplichten browsers dat een beveiligde website bewijs aanlevert dat het certificaat in een publieke CT-log voorkomt. Een CT-log is een eenvoudige netwerkdienst die een archief van ssl-certificaten bijhoudt. Certificaten kunnen alleen aan dit log worden toegevoegd en niet worden verwijderd of aangepast. Ze gebruiken verder een cryptografische methode om manipulatie te voorkomen en kunnen door het publiek worden gecontroleerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.