Certificaatautoriteiten stoppen met mail, fax en post voor controle domeinhouder
Certificaatautoriteiten gaan stoppen met het gebruik van e-mail, sms, fax, telefoongesprekken en fysieke post om te controleren of de persoon die een tls-certificaat voor een domein aanvraagt ook de legitieme domeinhouder is. Het CA/Browser Forum heeft besloten om elf oudere methodes voor "Domain Control Validation" uit te faseren. Dit moet voorkomen dat aanvallers certificaten voor domeinen kunnen aanvragen die niet van hen zijn om daar vervolgens aanvallen mee uit te voeren, zo laat Google weten.
Het CA/Browser Forum is een consortium van certificate authorities en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten. Certificaatautoriteiten geven de tls-certificaten uit die websites bijvoorbeeld gebruiken voor het opzetten van een versleutelde verbinding met bezoekers en identificatie.
Een domeinhouder die bij een certificaatautoriteit een tls-certificaat wil aanvragen moet aantonen dat hij de eigenaar van het domein is. Hiervoor zijn allerlei methodes beschikbaar. Zo kan de domeinhouder een DNS TEXT record aanmaken en daarin een door de certificaatautoriteit gegeven waarde plaatsen. Er zijn echter ook oudere methodes die volgens het CA/Browser Forum onvoldoende bescherming bieden. Het gaat dan bijvoorbeeld om het gebruik van sms, e-mail, fax en telefoongesprekken om te controleren of de aanvrager van een certificaat ook de domeinhouder is. Deze methodes worden nu uitgefaseerd.
"Door het uitfaseren van deze verouderde methodes, die gebruikmaken van zwakkere verificatiesignalen zoals fysieke post, telefoongesprekken of e-mail, sluiten we mogelijke openingen voor aanvallers en sturen we het ecosysteem naar geautomatiseerde, cryptografisch verifieerbare security", aldus Google. De uitfasering zal stapsgewijs plaatsvinden en begin 2028 zijn afgerond. Volgens het techbedrijf zullen deze aanpassingen voor de meeste gebruikers onzichtbaar zijn. "En dat is precies het doel. Maar achter de schermen maken ze het lastiger voor aanvallers om certificaatautoriteiten te misleiden om certificaten uit te geven voor domeinen die ze niet bezitten."
Security wordt hiermee ondergeschikt gemaakt aan efficienty en gemak (vooral voor de uitgevers van certificaten). Waarom zou je dan uberhaupt nog betalen voor een certificaat?
Vroeger had het nog enigszins zin om de eigenaar van een website te valideren in een certificaat, dit was zichtbaar.
Maar nu is er geen enkele reden meer toe, aangezien er nog maar zelden naar word gekeken naar deze informatie.
Overheden halen hun certificaten uit het buitenland, banken gebruiken Let's Encrypt en het valt bijna niemand op.
Ik denk dat er iets (terug) moet komen om duidelijk te maken van wie een website is.
De huidige certificaten worden nu maandelijks ververst, het uitvoeren van handmatige verificatie is daarbij onhandig.
Dan is een 2e certificaat die domeinnaam aan bedrijf of persoon koppelt de logische uitkomst denk ik.
Een "website eigenaarschap" certificaat dus!
We zijn terug bij af: het intetnet is niet te vertrouwen. Snel terug naar papier. Dat heeft zoveel andere voordelen ook...
Waarom blijven ze niet de oude manieren gebruiken en tegelijk dat TXT DNS record verplichten.
Security wordt hiermee ondergeschikt gemaakt aan efficienty en gemak (vooral voor de uitgevers van certificaten). Waarom zou je dan uberhaupt nog betalen voor een certificaat?
Nee, dat is nooit anders geweest. Er was geen validatie tussen de te registreren domain aanvrager en de naam van het domein (dus abnamro.org). De validatie wordt niet perse anders; ze gebruiken alleen een andere mechanisme.
Bij een EV certificaat krijg je alle bovenstaande stappen (bellen, mail etc) maar nog geen DNS verificatie. En juist dát is een heel belangrijke stap om te controleren of een certificaat wel bij de domeinnaam hoort. In zekere zin was die er indirect; er gaat een mail naar webmaster, postmaster of administrator @ aan te vragen domein; maar dat wil nog niet perse zeggen dat je ook DNS eigenaar bent.
Security wordt hiermee ondergeschikt gemaakt aan efficienty en gemak (vooral voor de uitgevers van certificaten). Waarom zou je dan uberhaupt nog betalen voor een certificaat?
Nee, dat is nooit anders geweest. Er was geen validatie tussen de te registreren domain aanvrager en de naam van het domein (dus abnamro.org). De validatie wordt niet perse anders; ze gebruiken alleen een andere mechanisme.
Bij een EV certificaat krijg je alle bovenstaande stappen (bellen, mail etc) maar nog geen DNS verificatie. En juist dát is een heel belangrijke stap om te controleren of een certificaat wel bij de domeinnaam hoort. In zekere zin was die er indirect; er gaat een mail naar webmaster, postmaster of administrator @ aan te vragen domein; maar dat wil nog niet perse zeggen dat je ook DNS eigenaar bent.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?