Deel dit artikel
-

Verweer tegen onveilige SSL-certificaten

VeriSign heeft de kwetsbaarheid in SSL-certificaten opgelost. De digitale certificaten die internetsites moeten beveiligd, kunnen nu niet langer door kwaadwillenden worden misbruikt. Daarnaast is er een plugin voor Firefox gelanceerd. De tool controleert onder meer op de zwakke plek, het MD5-algoritme.

Een team van Nederlandse, Zwitserse en Amerikaanse onderzoekers bracht de kwetsbaarheid in de SSL-certificaten deze week naar buiten. De groep ontdekte dat een van de standaard cryptografische algoritmes, die gebruikt worden om digitale certificaten te checken, vatbaar is voor misbruik. Het gaat om het MD5-algoritme.

Als iemand een website bezoekt waarvan de url met https begint, dan verschijnt er een klein hangslot in de statusbalk van de browser. Dit betekent dat de website beveiligd is met een certificaat. De gebruiker mag er dan vanuit gaan dat hij zich op een veilige website bevindt. Nu de mogelijkheid tot misbruik is blootgelegd is het mogelijk een phishing-site te maken die er uit ziet als een goed beveiligde site.

De Firefox-plugin, geschreven door Márton Anka, moet tegen misbruik van de SSL-certificaten beschermen. Op de site is te lezen dat er, ondanks het grote aantal CA’s, toch enkelen zullen zijn die MD5 zullen blijven gebruiken.

SSL-certificaten worden uitgegeven door Certificate Authorities (CA’s). MD5 heeft al eerder te kampen gehad met zwakke plekken. Anka verwacht dat er in de nabije toekomst meer aanvallen op MD5 zullen komen.

VeriSign heeft de onveiligheid verwijderd en zegt toe eind deze maand MD5 te hebben uitgefaseerd. Het bedrijf benadrukt het te waarderen dat de groep onderzoekers de online veiligheid onder de loep hebben genomen. Hierdoor kunnen blootgelegde onveiligheden aangepakt worden.

Deel dit bericht

1 Reactie

Julia Banninck

1) Verisign en al die andere authoriteiten die nu de held uit proberen te hangen door te tonen hoe goed ze zijn door het uit te faseren hadden MD5 al 10 jaar geleden de deur uit moeten doen, maar vertikten dat.2) Verisign rept met geen woord waarom ze MD5 zijn blijven gebruiken en piept zelfs liever dat het allemaal wel mee valt.3)Verisign houd een half valse verkaring op dat de aanval geen effect heeft op bestaande certificaten: het probleem dat het hele beveiligingsmodel onderuit is getrokken en die vervalste certificaten voor echt worden aangezien heeft men het niet over. Ja, de bestaande certificaten daar is dan niets mis mee, maar dat is niet waar het om draait in het vertrouwen dat je in een certificaat moet kunnen hebben.4) Verisign geeft de onderzoekers nog even een smeer uit de pan door te melden dat Verisign teleurgesteld is dat ze niet eerder op de hoogte waren gebracht van het gevaar. Als je al sinds 1995 diverse malen hebt kunnen weten dat MD5 niet veilig is dan ben je als bedrijf kennelijk liever bezig met andere zaken dan betrouwbaarheid en veiligheid. Je dan ook nog eens in datzelfde bericht een world leading force op gebied van online security durven te noemen geeft dan genoeg aan over de betrouwbaarheid van zo'n bedrijf. Geen. 5) De rest van de authoriteiten die MD5 er nog niet uitgegooid had laat niets van zich horen en probeert daarmee de boel dood te zwijgen. Het verweer tegen de onveilige SSL-certificaten is buitengewoon slap en nogal politiek correct opgesteld. De betreffende bedrijven die MD5 nog gebruikten hebben eigenlijk geen verweer. Ze proberen met rookgordijnen als verweer op te voeren terwijl het er eigenlijk om hoort te gaan waarom ze tot het moment van de publicatie van de resultaten geen barst hadden gedaan aan de bekendheid dat MD5 al vele malen zwak was bevonden. Waarom vertrouwden die bedrijven het nog, gingen er nog mee door. Een tweede verweer over een nog groter probleem is er zelfs niet gekomen nadat een ander voorval rond SSL-certificaten bekend werd: een paar dagen eerder bleek dat resellers doodleuk certificaten uitdeelden aan onbetrouwbare figuren zonder dat de reseller noch de CA moeite deed om te controleren of een certificaat wel uitgegeven moest worden. Daarmee valt het hele model van betrouwbaarheid nog veel makkelijker en erger in het water dan het aangetoonde probleem van MD5. De authoriteiten doen weinig tot niets om betrouwbaarheid te garanderen. Dat wil zeggen: het model is niet betrouwbaar genoeg zoals men in de huidige vorm met vertrouwen omgaat. Een aantal grote authoriteiten neemt een loopje met de mazen in de controle en de mogelijkheden die het verschil tussen papier en praktijk met zich mee brengt, om er vooral zelf beter van te worden. Wat mij betreft gooit men Verisign, Comodo en nog een paar andere zogenaamd betrouwbare partijen uit het model vanwege hun onprofessionele gedrag en beschaming van vertrouwen.

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond