VeriSign: Onze SSL-certificaten kunnen niet worden misbruikt
Arnout Veenman op
7 augustus 2009 08:01 in ISP
Tags: ssl, verisign
Vorige week werden er tijdens een Black Hat conferentie een ernstig lek onthult. Door dit lek kan een aanvaller door een SSL-certificaat te bemachtigen voor een domeinnaam met een karakter dat er niet in hoort (null-string) elke browser laten geloven dat het met een willekeurige andere website te maken te heeft.
SSL Certificate Authority VeriSign heeft in een reactie op de onthulling van het lek laten weten dat geen enkel van de door haar uitgegeven SSL-certificaten null-strings bevatten, waardoor SSL-certificaten van VeriSign niet kunnen worden misbruikt voor dit type aanval. Het zelfde geldt voor SSL-certificaten van VeriSign dochtersGeoTrust, thawte en RapidSSL.
Volgens VeriSign product marketing vice president Tim Callan, is tot dat alle browser-fabrikanten het lek gedicht hebben, de enige oplossing om gebruik te maken van EV-SSL certificaten (van VeriSign). De uitgifite van EV-SSL certificaten is aan strenge eisen gebonden. Zodoende is de kans dat de domeinnaam in een EV-SSL certificaat een null-string bevat nihil.
Mozilla heeft patches uitgebracht voor Firefox die het lek dichten.
Gerelateerde atikelen (automatisch geselecteerd)
1 Reactie op “VeriSign: Onze SSL-certificaten kunnen niet worden misbruikt”
Paul van Brouwershaven op 7 augustus 2009 om 09:50
Ook GlobalSign heeft van de week al aangegeven dat het bij hun systeem nooit mogelijk is geweest om een certificaat met een nul byte string aan te vragen.
Zie het persbericht:
http://www.globalsign.com/company/press/090804-ssl-vulnerability.html
Iets te melden? Reageer!
Archieven
- juli 2010 (39)
- juni 2010 (39)
- mei 2010 (47)
- april 2010 (45)
- maart 2010 (48)
- februari 2010 (45)
- januari 2010 (49)
- december 2009 (54)
- november 2009 (46)
- oktober 2009 (48)
- september 2009 (53)
- augustus 2009 (45)
- juli 2009 (50)
- juni 2009 (58)
- mei 2009 (54)
- april 2009 (59)
- maart 2009 (55)
- februari 2009 (43)
- januari 2009 (41)
- december 2008 (49)
- november 2008 (39)
- oktober 2008 (49)
- september 2008 (43)
- augustus 2008 (42)
- juli 2008 (46)
- juni 2008 (41)
- mei 2008 (42)
- april 2008 (45)
- maart 2008 (42)
- februari 2008 (45)
- januari 2008 (37)
- december 2007 (39)
- november 2007 (44)
- oktober 2007 (59)
- september 2007 (49)
- augustus 2007 (50)
- juli 2007 (55)
- juni 2007 (58)
- mei 2007 (60)
- april 2007 (36)
- maart 2007 (50)
- februari 2007 (38)
- januari 2007 (44)
- december 2006 (35)
- november 2006 (54)
- oktober 2006 (32)
- september 2006 (39)
- augustus 2006 (45)
- juli 2006 (46)
- juni 2006 (41)
- mei 2006 (54)
Rubrieken
- Advertorial
- Bijeenkomsten
- Breedband
- Censuur
- Column
- Datacentrum
- Domeinnamen
- Downtime
- Governance
- Hardware
- Hosting
- Illegaal
- IPv6
- ISP
- ISPam.nl
- ISPviews
- Jaaroverzicht
- Juridisch
- Koffie
- Maatschappij
- MVO
- Netwerken
- Nieuws uit de branche
- Onderzoek
- Persberichten
- Podcast
- Politiek
- Problemen
- Producten
- Productreviews
- Software
- SPAM
- Thijs Hostwise
- Veiligheid
- Vraag het Mr. Ras
- xCAT.nl Publishing