GlobalSign meldt incident met in 2010 aangevraagd ssl-certificaat
Certificaatautoriteit GlobalSign heeft vorige week een in 2010 aangevraagd ssl-certificaat met zwakke encryptiesleutel uitgegeven, waarmee het de certificaatregels overtrad. Het certificaat is inmiddels ingetrokken, maar Google maakt zich zorgen of GlobalSign nog wel in staat is om op een veilige wijze certificaten uit te geven.
Op 21 mei 2010 vroeg de eigenaar van het domein 'celticpapaya.com' een ssl-certificaat aan. Voordat een certificaatautoriteit een certificaat uitgeeft moet eerst de aanvrager bevestigen dat hij de eigenaar van het domein is. Dit kan door middel van een validatiemail worden gedaan. In dit geval werd de validatiemail niet meteen verstuurd, omdat het woord 'pay' in de domeinnaam voorkwam.
Een medewerker van GlobalSign moest eerst een phishingcontrole uitvoeren voordat de validatiemail uitging. De eigenaar van het domein besloot zo'n vijftig minuten na zijn eerste bestelling opnieuw een certificaat voor het domein aan te vragen, mogelijk omdat hij de verwachte validatiemail nog niet had ontvangen. Na de phishingcontrole door de GlobalSign-medewerker werden de validatiemails op 24 mei 2010 voor beide bestellingen verstuurd. Op 27 mei 2010 bevestigde de domeinhouder de validatielink van de tweede bestelling en werd het certificaat uitgegeven.
Door nog onbekende reden werd op 4 februari van dit jaar de validatielink in de validatiemail van de eerste bestelling uit 2010 geopend. Daarop werd deze eerste bestelling alsnog verwerkt en een certificaat met een RSA-1024 key uitgegeven. Het is sinds 2013 voor certificaatautoriteiten verboden om certificaten met een dergelijke key uit te geven. De gebruikte sleutel moet tegenwoordig minimaal 2048 bits zijn.
Op het moment van de aanvraag in 2010 was het echter nog wel toegestaan om certificaten met een RSA-1024 key uit te geven. Acht uur na de uitgifte van het certificaat werd het door GlobalSign ingetrokken. Tevens werd er een onderzoek ingesteld hoe een bestelling voor een certificaat met een dergelijke zwakke sleutel ongemerkt kon worden afgehandeld.
GlobalSign heeft nu een uitgebreid rapport over het incident gepubliceerd. Ryan Sleevi van Google heeft echter nog de nodige vragen en maakt zich ook zorgen. Sleevi houdt vanuit Google toezicht op certificaatautoriteiten en is bijvoorbeeld degene die aankondigt wanneer Chrome certificaten van bepaalde partijen gaat blokkeren vanwege het overtreden van de regels. In dit geval maakt Sleevi zich zorgen dat de infrastructuur van GlobalSign inmiddels zo complex is geworden dat de certificaatautoriteit mogelijk niet meer in staat is om op een veilige wijze en volgens de regels certificaten uit te geven. GlobalSign heeft nog niet op de vragen van Sleevi gereageerd.
Sleevi's collega Adam Langley had om te beginnen revocation checks niet uit Chrome moeten slopen [1], daarom zit hij nu zo te piepen.
[1] Inderdaad, softfail is onzin, stapling met mandatory check had de standaard moeten worden - maar Google ging voor snelheid boven security (https://www.imperialviolet.org/2012/02/05/crlsets.html).
Wow. Toen al netjes. Moet je een op crt.sh zoeken op "bank" en goed kijken welke CA die controle dus zeker niet uitvoert.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.