image

Comodo controleerde bij uitgifte certificaten CAA-standaard niet

dinsdag 12 september 2017, 10:42 door Redactie, 10 reacties

Certificaatautoriteit Comodo bleek bij het uitgeven van tls-certificaten de CAA-standaard niet te controleren, zo ontdekte de Duitse journalist Hanno Bock alsmede verschillende andere personen. CAA staat voor Certification Authority Authorization en laat eigenaren van een domein bepalen welke certificaatautoriteiten voor hun domein certificaten mogen uitgeven.

Hiermee kunnen domeineigenaren zich beschermen tegen kwetsbaarheden in het certificaatautoriteit-validatiesysteem en aanbestedingsbeleid voor het verkrijgen van certificaten afdwingen. Om van CAA gebruik te maken moet er in de dns-records van het domein een CAA-record worden opgenomen waarin de certificaatautoriteiten staan vermeld die voor het domein certificaten mogen uitgeven. Voor de uitgifte van een certificaat hoort de certificaatautoriteit het CAA-record te controleren en het verzoek te weigeren als er een certificaatautoriteit wordt gebruikt die niet vermeld staat.

De CAA-standaard werd in 2013 aangenomen, maar sinds 8 september is het verplicht voor certificaatautoriteiten om hierop te controleren. Comodo laat op de eigen website weten dat het dit al meer dan een jaar doet. Ondanks de toegezegde controle ging Comodo de fout in. Bock wist een certificaat voor een domein aan te vragen waar alleen certificaten van Let's Encrypt waren toegestaan, maar het uitgegeven certificaat was van een andere certificaatautoriteit afkomstig. Comodo erkent de fout en heeft het probleem inmiddels verholpen. Daarnaast komt het bedrijf binnenkort met een rapport over het incident.

Reacties (10)
12-09-2017, 11:29 door Anoniem
Waarom bestaan deze gasten nog wel? Hebben ze hooggeplaatste vrindjes zodat ze niet diginotar achterna hoeven?
12-09-2017, 12:11 door Anoniem
Omdat het Amerikaans is en ze vriendjes zijn met de inlichtingen diensten?
12-09-2017, 12:17 door Anoniem
Nee.
Het zijn mensen die ook fouten maken. Mensen die fouten maken mogen zich verbeteren.

De fundamentalist wil dat iedereen onmiddellijk tot in (subjectieve) perfectie werkt.
De realist ziet dat er continue verbetering nodig is en dat in dat proces fouten worden gemaakt waarvan wordt geleerd.
De egoïst wil graag zijn doelen halen (rijk worden?) zonder rekening te houden met anderen.

Als je naar de eerste verdieping wil, dan kan dat niet met 1 sprong. Dan heb je een trap nodig.
12-09-2017, 12:47 door Anoniem
Symantec, Comodo. Zolang ze maar genoeg geld hebben voor juridische stappen tegen browsers kunnen ze doen wat ze willen.
12-09-2017, 13:41 door Briolet - Bijgewerkt: 12-09-2017, 13:41
Het gaat hier om iets wat nog maar een paar jaar geleden ingevoerd is. Bij mijn hosting provider (Hostnet) kan ik b.v. nog geen CAA record aanmaken.

Ook de DNS tools zoals 'dig' en 'host' die standaard op een Mac staan, kennen het CAA record nog niet en komen terug met een foutmelding.

Bij zo iets nieuws kun je configuratie-fouten verwachten. Ik denk ook niet dat veel bedrijven dit al gebruiken. Google wel, maar een abnamro b.v. nog niet.
12-09-2017, 13:56 door Bitwiper
Webbrowsers zouden hier natuurlijk ook op kunnen checken.
12-09-2017, 15:01 door Anoniem
De fundamentalist wil dat iedereen onmiddellijk tot in (subjectieve) perfectie werkt.

Je bent een fundamentalist indien je wilt dat Certificate Authorities zich houden aan standaarden, voor Certificate Authorities ? De verwachting dat ze compliant zijn aan de CAA-standaard lijkt mij niet meer dan redelijk.

Omdat het Amerikaans is en ze vriendjes zijn met de inlichtingen diensten?

Comodo is een Engels bedrijf, gesticht in 1998 door Melih Abdulhayo?lu.
12-09-2017, 15:38 door Anoniem
Zo kan ik ook de allergrootste certificaatverstrekker van de wereld worden...

Dus de beveiliging van websites met een ander certificaat dan Comodo is in gevaar, omdat Comodo ook certificaten kon leveren voor die domeinen? Bijv. een certificaat voor een toegevoegd subdomein als "fishing.domeinnaam.xx"? (of iets wat aantrekkelijker klinkt zoals "doneren.domeinnaam.xx" maar waar gegevens en donatie in handen komt van een nepperd)

Begrijp ik dat goed?
12-09-2017, 17:01 door Anoniem
Google heeft als eerste de kat de bel aangebonden wat betreft "onveilige" Symantec certificaten.
Hele discussies zijn hierover al hier op het forum gevoerd, o.a. door Bitwiper, die deze zaken aan de orde stelde.

Men kan de laatste technologische stand van website beveiligingsmaatregelen als volgt even nalopen, via

cryptoreport.websecurity.symantec.com/checker/
https://sritest.io/ en https://sritest.io/

Re: https://www.sslshopper.com/ssl-checker.html
meer extensief hier: https://www.ssllabs.com/ssltest/
op de site bij voorbeeld : https://en.internet.nl/site/cns1.secureserver.net/#

Daarnaast dient men te kijken in hoeverre zich alles afspeelt op het non-public internet en hoe verdere CDNs beveiligd worden (zit men niet voor een dubbeltje op de eerste rang) welke onderhuidse tracking, profilering en data uitwisselingen vinden er plaats.

Veel certificaten zijn nog als root op de server geïnstalleerd. Naamserver narigheid enz. enz.

Zij, die er toe doen weten er niets van en die er relevante kennis van hebben, doen er volgens de eersten niet toe.
En daarom wordt er naar deskundigen of ingewijden niet geluisterd, omdat er andere zwaarwegender belangen dan veiligheid te waarborgen zijn (commercie, macht, censuur).

Dan is er altijd nog onveiligheid die t.b.v. van staatselementen in stand gehouden moet worden,
denk aan bijvoorbeeld de audio afluistermogelijkheden bij het Microsoft platform, waar Kasperky's Lab via een patent tegen beveiligde en waarmee de Amerikaanse veiligheidsdiensten helemaal niet zo blij waren en Kaspersky dus gingen verketteren en uit de Amerikaanse overheidsmarkt drukten via een ban voor overheidsgebruik van de Kaspersky software. Microsoft wil dit als feature beschouwd iets (zelfs met afgeplakte microfoon bent u af te luisteren) niet van de nodige pleisters voorzien.

In deze materie zich fundamentalistisch opstellen valt dus om de duvel niet mee vanwege de gaande belangen (surveillance staat versus burgers, commercie versus eindgebruiker). Het onderwerp wordt zelfs grotendeels gemeden...of botweg ontkend of geridiculiseerd of tot grof nep nieuws gebombardeerd.

SSL onvolledigheden zijn ook prachtige alerts ter bevordering van censuur/versluieren van bepaalde info op websites, Via zo'n alert blijft de lezer, die geen inzicht heeft in de werkelijke bedreiging, vaak eenvoudig 'snel weg daar weg, zonder dat men een andere "rode haring" nodig heeft en zich nader dient te verklaren, dat men dit liever deze info niet onder de aandacht gebracht ziet. "Wij houden u dus liever onwetend dan veilig!".
14-09-2017, 19:57 door Anoniem

Omdat het Amerikaans is en ze vriendjes zijn met de inlichtingen diensten?

Comodo is een Engels bedrijf, gesticht in 1998 door Melih Abdulhayo?lu.

Met headquarters in de VS
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.