Een vervalst SSL-certificaat afkomstig van Diginotar uit Nederland wordt misbruikt voor aanvallen op gebruikers van Google. Bezorgdheid hierover werd onder meer gemeld op een supportforum van Google. Het lijkt er op dat de Iraanse overheid achter de vervalsing zit.
Een SSL-certificaat verzekert een gebruiker dat de beveiligde site (of beveiligde pagina's op die site) waar hij of zij contact mee opneemt, ook daadwerkelijk de betrokken site (of pagina's) is. Die certificaten kunnen worden uitgereikt door ‘certificate authorities' (CA's), zoals het Nederlandse Diginotar, en worden aangewend door onder meer browsers bij het tot stand brengen van connecties met beveiligde sites. Daarbij kan het gaan om een veilig pad naar toepassingen als webmail, maar ook e-commerce.
Man in the middle-aanval
Op 10 juli 2011 wisten onbekenden bij Diginotar een vervalst certificaat te creëren voor ‘google.com', waardoor ‘man in the middle'-aanvallen op gebruikers van Google-diensten, zoals Gmail, kunnen worden opgezet. Een man in the middle-aanval is een aanval waarbij informatie tussen twee communicerende partijen onderschept wordt zonder dat beide partijen dat weten. Bezorgdheid hierover werd onder meer gemeld op een Google-supportforum en leidt ertoe dat hierin de hand van de Iraanse overheid wordt gezien. Een gebruiker in Iran merkte evenwel het probleem omdat hij gebruik maakte van een recente versie van Chrome, die een ‘certificate'-waarschuwing gaf.
Ondertussen reageerden bedrijven en softwarebouwers al tegen dit certificaat. Microsoft verwijderde het certificaat al uit de lijst van toegelaten certificaten in zijn browsers, terwijl Google overweegt alle certificaten van Diginotar te blokkeren. Mozilla zou tevens aan updates van onder meer Firefox werken die Diginotar-certificaten niet meer zouden aanvaarden. Er doet tevens al informatie de ronde hoe eindgebruikers dat zelf ook kunnen doen.
Diginotar werd in januari 2011 overgenomen door Vasco Data Security. Dat gaf nog geen verklaring uit over de kwestie met het vervalste certificaat en het verlies aan vertrouwen in Diginotar. Uiteindelijk geeft het bedrijf op woensdagmiddag 30 augustus in een schriftelijke verklaring de problemen toe.
Bezorgdheid
Het vervalste certificaat van Diginotar is overigens al het tweede voorval op dit gebied. Eerder dit jaar zou na de hacking van RSA door de CA Comodo al een aantal vervalste certificaten zijn gecreëerd. Ondertussen zouden die wel al zijn geblokkeerd, maar blijkbaar nam dat wel wat tijd in beslag. Belangenorganisatie Electronic Frontier Foundation (EFF) waarschuwt ervoor dat dit niet de eerste problemen zijn met CA's en dat nieuwe oplossingen zich opdringen.
In samenwerking met Datanews
Als dit allemaal klopt, dan kan DigiNotar gaan sluiten. Hun bestaansgrond is het leveren van betrouwbare SSL-certificaen, juist om MITM te voorkomen.
Is toch een kwestie van het betreffende certificaat op de Certificate Revocation List te zetten?
Wat wordt bedoeld met “microsoft verwijderde het betreffende certificaat…”. Volgens mij kan MS dat niet, want het betreffende certificaat staat in de store bij de eindgebruiker. Microsoft kan wel zorgen dat standaard het root certificaat van Diginotar uit de lijst van vetrouwde CA’s wordt gehaald.
@WillemK: en dat is precies wat Microsoft gaat doen, net als Google (chrome) en Firefox (zit al in de eerste daily build). En als het een beetje tegenzit pakken ze meteen het diginotar certificaat voor PKI-overheid mee (zit ook al in de daily build van firefox). Doet meteen de helft van de overheidssites het niet meer.
Klopt helemaal getuige de website van RDW.nl
Ze bevestigen dat het ligt aan de DigiNotar certificaten en een aantal diensten momenteel online niet beschikbaar zijn. Ben benieuwd hoe snel ze hier een workaround voor vinden (natuurlijk binnen de aanbestedingsregels.)
Na het akkefietje met Comodo-certificaten enige tijd geleden en nu deze zaak met Diginotar, is denk ik wel aangetoond dat het tijdperk van de certificate authorities voorbij is. Deze dinosaurus dient uit te sterven en vervangen te worden door een beter systeem.
Als het zo gehacked kan worden hoe komt men dan binnen bij google. Is CA security zo ‘eenvoudig’ te omzijlen dan ?.
Dit lijkt erop alsof je met een nep key uitgegeven bij een ander bedrijf zo naar binnen kunt fietsen bij Google. Als dat kan betekent het dat geen enkele bank veilig meer is.
Immers va DNS spoofing in combinatie met deze mij onbekende hack zou je dan overall binnen moeten kunnen komen dat is uiterst schrikbarend