Ruim tweeduizend websites onbereikbaar door ingetrokken EV-certificaten
Ruim tweeduizend websites met een EV-certificaat waren de afgelopen dagen onbereikbaar doordat certificaatautoriteit DigiCert de certificaten had ingetrokken en de websites geen nieuw certificaat hadden geregeld. Het ging onder andere om websites van banken, overheden en webwinkels, zo meldt internetbedrijf Netcraft.
DigiCert besloot zo'n 35.000 EV-certificaten in te trekken omdat die niet in de auditrapporten stonden vermeld. Certificaatautoriteiten geven EV- en tls-certificaten uit, die websites gebruiken om zich tegenover bezoekers te identificeren en het opzetten van een beveiligde verbinding. Jaarlijks moeten certificaatautoriteiten zich door een externe partij laten controleren, waarbij ook uitgegeven certificaten onder de loep worden genomen. Deze audits omvatten ook de uitgegeven intermediate certificaten die certificaatautoriteiten gebruiken voor het uitgeven van EV- en tls-certificaten aan hun klanten.
DigiCert stelt dat intermediate certificaten in auditrapporten altijd stonden vermeld op basis van het geplande gebruik, in plaats van of deze intermediate certificaten in staat waren om EV-certificaten uit te geven. Hierdoor stonden niet alle intermediate certificaten die certificaten konden uitgeven in het auditrapport vermeld. DigiCert merkt op dat dit losstaat van de controle van de EV-certificaten zelf, aangezien daarvan wel is gecontroleerd of ze aan de EV-eisen voldoen. "Het resultaat is een vreemde situatie waar alle certificaten op de EV-eisen zijn getest, maar het rapport niet het specifieke intermediate certificaat vermeldde", aldus DigiCert.
Volgens het bedrijf is er geen directe beveiligingsdreiging, maar vanwege de EV-richtlijnen besloot DigiCert al deze intermediate certificaten de komende weken in te trekken, waardoor zo'n 35.000 uitgegeven EV-certificaten ongeldig worden. Afgelopen zaterdag werd de eerste batch certificaten ingetrokken, zo meldt Netcraft. Maandagochtend ontdekte het bedrijf nog 3800 websites die van een EV-certificaat gebruikmaken dat door de getroffen intermediate certificaatautoriteiten is uitgegeven. Van deze websites maakten 2300 gebruik van een al ingetrokken EV-certificaat en waren zodoende onbereikbaar voor bezoekers. Het ging onder andere om websites van Wirecard, The State Bank of India, Rackspace, Authorize.net, ANZ Bank en Telegram. Sommige van de websites zijn op het moment van schrijven nog steeds onbereikbaar.
De overige 1500 certificaten moeten nog worden ingetrokken. In eerste instantie rapporteerde DigiCert dat het zo'n 50.000 certificaten ging intrekken. Na verder onderzoek blijkt het om 35.000 geldige certificaten te gaan, die in drie batches worden ingetrokken. De eerste batch van zo'n 26.000 certificaten werd op 11 juli ingetrokken. Op 16 juli volgt de tweede batch van zo'n 4.000 certificaten, gevolgd door een derde batch met een zelfde aantal op 30 juli.
Deze heeft heel veel verschillende domeinen. Het originele bericht is een Amerikaans artikel en dat verwijst naar de Amerikaanse vestiging va de Bank. Daarvan is het certificaat ongeldig. Maar door het te vertalen naar een Nederlands artikel, veranderd de context en verwacht je dat de hoofdvestiging in India bedoeld wordt. Die heeft nog steeds een geldig certificaat.
De vestiging van de SBI in België gebruikt wel een heel vreemd top level domein: "statebank". Die kende ik nog niet. Het lijkt er op dat die bank zijn eigen TLD heeft met "be" als domein voor de Belgische vestiging. Vreemd genoeg wordt dat TLD in India of de VS niet gebruikt. Als je zo'n duur eigen TLD lanceert, ga je dat toch ook gebruiken?
Volgens de IANA registratie is dat TLD van deze Indiase bank.
Deze heeft heel veel verschillende domeinen. Het originele bericht is een Amerikaans artikel en dat verwijst naar de Amerikaanse vestiging va de Bank. Daarvan is het certificaat ongeldig. Maar door het te vertalen naar een Nederlands artikel, veranderd de context en verwacht je dat de hoofdvestiging in India bedoeld wordt. Die heeft nog steeds een geldig certificaat.
De vestiging van de SBI in België gebruikt wel een heel vreemd top level domein: "statebank". Die kende ik nog niet. Het lijkt er op dat die bank zijn eigen TLD heeft met "be" als domein voor de Belgische vestiging. Vreemd genoeg wordt dat TLD in India of de VS niet gebruikt. Als je zo'n duur eigen TLD lanceert, ga je dat toch ook gebruiken?
Volgens de IANA registratie is dat TLD van deze Indiase bank.
Je wilt niet _weten_ hoeveel dingen er verweven zitten in een beetje grote enterprise - en met externe partijen, en op hoeveel plekken erg zelfstandige beheerorganisaties zitten.
Dat ze eventueel een wens en plan hebben om alles onder hun toplevel domein te zetten kan wel, maar zo'n operatie is enorm veel ingrijpender dan alleen een DNS record en een vhost config "ff aanpassen" .
Echter is het niet verstandig om bedrijfsomgeving te werken met gratis rotzooi , zo zie je ook netdna ... als je niet oplet kan een derde partij er zo js scripts in je afbeelding steken en dit is echt niet wenselijk voor bedrijven.
Certificaten gebruik je ook enkel als mensen kunnen inloggen , zo weet ik van enkele sites die uitdienst gingen bij het vervalen van het certificaat . Ooit was het opgesteld want het moest veilig lijken werknemer die het kon werkte ergens anders en de opvolger wist niet wat een certificaat was dus faling ....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.