image

Logius onderzoekt PKIoverheid-certificaten die niet aan richtlijnen voldoen

maandag 6 juli 2020, 17:52 door Redactie, 3 reacties
Laatst bijgewerkt: 07-07-2020, 10:40

Logius, de automatiseringsdienst van de rijksoverheid, is een onderzoek gestart naar PKIoverheid-certificaten die niet aan de Baseline Requirements van het CA/Browser Forum voldoen en mogelijk moeten worden ingetrokken. Het CA/Browser Forum is een consortium van certificaatautoriteiten en softwareontwikkelaars die regels voor certificaten opstellen.

Ryan Sleevi, staff software engineer bij Google, waarschuwde vorige week dat hij 293 intermediate certificaten had gevonden die niet aan de Baseline Requirements voldoen. Intermediate certificaten worden gebruikt door certificaatautoriteiten om de tls-certificaten van hun klanten te ondertekenen. Een probleem met deze certificaten is dat ze een extensie missen die volgens de richtlijnen wel aanwezig moet zijn.

Certificaten kunnen voor verschillende redenen worden ingetrokken, zoals in het geval van DigiNotar werd gedaan. Het intrekken van certificaten kan via Certificate Revocation Lists (CRL) en het Online Certificate Status Protocol (OCSP). Bij OCSP ontvangt bijvoorbeeld de browser het certificaat van een website. De browser verstuurt vervolgens een OCSP-request met het serienummer van het certificaat naar een OCSP-responder (server). De OCSP-responder geeft vervolgens een antwoord terug aan de client of het certificaat goed, ingetrokken of onbekend is. Zo weet de browser of het certificaat is te vertrouwen en de beveiligde verbinding kan worden opgezet.

Aangezien de OCSP-responder statusinformatie over één of meerdere certificaatautoriteiten geeft moet een OCSP-client wel weten dat het certificaat van de OCSP-responder zelf niet is ingetrokken. Een certificaatautoriteit kan via de extensie "id-pkix-ocsp-nocheck" opgeven dat de client de responder voor de levensduur van het certificaat van de responder kan vertrouwen. In het geval van de 293 certificaten ontbreekt deze extensie.

Het alleen intrekken van deze intermediate certificaten is niet voldoende, aangezien deze certificaten de intrekking van zichzelf en andere ingetrokken certificaten ongedaan kunnen maken. Volgens Sleevi moeten niet alleen de betreffende certificaten binnen zeven dagen worden ingetrokken, maar ook de privésleutels van de certificaten worden vernietigd. Meer dan een derde van de certificaten in kwestie is al ingetrokken. Dit was echter al gedaan voordat de fout aan het licht kwam.

Mozilla laat weten dat het het niet nodig vindt dat de certificaten binnen zeven dagen worden ingetrokken, aangezien dit meer schade aan het ecosysteem kan aanrichten dan gerechtvaardigd. Gebruikers zouden hierdoor bepaalde websites niet meer kunnen bezoeken. Daarnaast maakt Firefox gebruik van OneCRL voor het controleren van certificaten en is zo niet afhankelijk van OCSP. Op de lijst van Sleevi staan ook certificaten van PKIoverheid die door Logius zijn uitgegeven. "Op dit moment onderzoeken we wat we kunnen doen om met de certificaten in kwestie weer aan de richtlijn te laten voldoen", zo laat Logius aan Security.NL weten. De overheidsdienst zal meer informatie publiceren zodra het beschikbaar komt.

Image

Reacties (3)
06-07-2020, 18:10 door Anoniem
Het is wel goed om te bedenken dat heel het "PKI"-gebruik in browsers aanelkaarhangt van ad-hoc verzinsels en "wij weten het ook niet dus doen me maar wat"-beleid, en dat dit "consortium", en dus ook hun vrij arbitraire "richtlijnen", meer van hetzelfde is plus een hoop browsermakerpolitiek. Dat begon al met de keuze voor "PKI" om http te beveiligen, en is nu nog steeds niet anders. Als een stukje perspectief op de betekenis van deze minutiae.
06-07-2020, 19:41 door Anoniem
Volgens die Baseline Requirements (cabforum):
4.9.9. On-line Revocation/Status Checking Availability
OCSP responses MUST conform to RFC6960 and/or RFC5019. OCSP responses MUST either:
1.Be signed by the CA that issued the Certificates whose revocation status is being checked, or
2.Be signed by an OCSP Responder whose Certificate is signed by the CA that issued the Certificate
whose revocation status is being checked.

In the latter case, the OCSP signing Certificate MUST contain an extension of type id-pkix-ocsp-nocheck, as
defined by RFC6960
06-07-2020, 20:37 door [Account Verwijderd]
Door Anoniem: Het is wel goed om te bedenken dat heel het "PKI"-gebruik in browsers aanelkaarhangt van ad-hoc verzinsels en "wij weten het ook niet dus doen me maar wat"-beleid, en dat dit "consortium", en dus ook hun vrij arbitraire "richtlijnen", meer van hetzelfde is plus een hoop browsermakerpolitiek. Dat begon al met de keuze voor "PKI" om http te beveiligen, en is nu nog steeds niet anders. Als een stukje perspectief op de betekenis van deze minutiae.
Het is wel goed om te bedenken dat het "wij weten het ook niet"-beleid gewoon het goed recht is van de eigenaar van de trust store (zoals Mozilla dat voor Firefox doet, Microsoft voor Windows etc.). En dus ook dat de "richtlijnen" een verzameling van regels is waar certificaten aan moeten voldoen bij alle trusts stores. Die "richtlijnen" staan tot in de details beschreven in de CAB/Browser Forum Baseline Requirements (https://cabforum.org/baseline-requirements/) waar zowel de browsermakers als Certificaat Autoriteiten in zitten en samen deze "richtlijnen opstellen".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.