SSL certificaten en MD5: Hoe nu verder
Randy ten Have op
5 januari 2009 08:03 in Hosting, ISP, Problemen, Veiligheid
Tags: MD5, ssl, SSL Certificaten, Xolphin
ISP's (beta): Xolphin SSL Certificaten
Vorige week werd bekend dat onderzoekers een manier gevonden hadden om enkele SSL-certificaten zelf na te maken door zelf een intermediair certificaat na te maken. Zou je deze ‘toepassing’ verder ontwikkelen, kun je het beveiligde verkeer van een server omleiden naar een eigen server, en zo bijvoorbeeld creditcard gegevens misbruiken voor andere doeleinden. Over het lek zelf is inmiddels al genoeg geschreven op andere websites. maar hoe nu verder?
Verisign heeft inmiddels de lekken binnen haar CA (rootcertificaat) weten te dichten. Eind deze maand moet deze overstap rond zijn, zo verwacht het bedrijf. Het bedrijf geeft tevens aan blij te zijn dat onderzoekers hier onderzoek naar gedaan hebben, ze willen, naar eigen zeggen, te alle tijden hun veiligheid verhogen. Ook is er een plugin ontwikkeld dor Firefox gebruikers kunnen installeren om zo te controleren of een website een met MD5 gesigneerd certificaat bezitten. Bekende certificaten die met een MD5 algoritme zijn ondertekend zijn de RapidSSL certificaten, bij veel providers erg in trek omdat dit betaalbare ‘single root’ certificaten zijn.
Xolphin, een Nederlandse leverancier van SSL-certificaten heeft inmiddels enkele duizenden websites onderzocht en komt tot de conclusie dat certificaten uitgegeven door Comodo, DigiNotar, Verisign en Thawte allemaal gebruik te maken van SHA1 encryptie en dus veilig gebruikt kunnen worden. Certificaten uitgegeven door GeoTrust (RapidSSL) en resellers van GeoTrust blijken wel allemaal gebruik te maken van MD5 hashes. GeoTrust is direct gestopt met het uitgeven van certificaten met deze MD5 handtekeningen, en vervangt certificaten met MD5 handtekeningen zonder kosten.
“Het actief hebben van een certificaat met MD5 handtekening vormt overigens geen beveiligingsrisico, het is niet noodzakelijk om bestaande certificaten te vervangen. Het is echter wel mogelijk dat de root certificaten welke gebruikt zijn voor het uitgeven van deze certificaten in de toekomst zullen vervallen, of niet meer door alle browsers worden ondersteund.”, zo laat Maarten Bremer van Xolphin aan ISPam.nl weten.
Gerelateerde atikelen (automatisch geselecteerd)
4 Reacties op “SSL certificaten en MD5: Hoe nu verder”
Paul van Brouwershaven op 5 januari 2009 om 09:25
@Randy: “Certificaten uitgegeven door GeoTrust (RapidSSL) en resellers van GeoTrust blijken wel allemaal gebruik te maken van MD5 hashes.”
In tegenstelling tot jou bericht zijn de SSL Certificaten van GeoTrust niet ondertekend met een MD5 algorithme.
Zie de tool welke Networking4all heeft ontwikkeld om dit te controleren:
https://www.networking4all.com/nl/helpdesk/tools/site+check/?fqdn=products.geotrust.com
Dit is wel het geval met de RapidSSL certificaten welke inmiddels enkel nog worden uitgegeven met een SHA1 handtekening.
Alles site kunnen worden gecontroleerd op:
https://www.networking4all.com/nl/helpdesk/tools/site+check/
Sebastiaan Stok op 5 januari 2009 om 11:37
Alleen het Root certificaat van RapidSSL is nog MD5.
Maar het probleem is dat je niet even kan omgooien omdat de browser hem dan als onveilig bestempeld.
Want die heeft alleen de oude CA in zijn lijst staan.
Wat eigenlijk weer op een probleem met SSL duid, als je de CA niet kent dan pakt hij hem niet.
Eigenlijk zou je een Organisatie moeten hebben die een lijst bijhoud en zodanig bijwerkt, en de browser via een die website laten controleren als hij die CA niet kent om toch zekerheid te hebben.
Maarten op 5 januari 2009 om 14:54
@Paul:
“RapidSSL.com is owned and operated by GeoTrust, Inc. Geotrust (www.geotrust.com) is the fastest-growing SSL Certificate Authority worldwide.”
GeoTrust en Thawte zijn weer van Verisign, maar dat is je vast wel bekend 
.
Paul van Brouwershaven op 5 januari 2009 om 14:56
Zeker is dat bij ons bekend, maar ze hebben wel een eigen root
Iets te melden? Reageer!
Archieven
- juli 2010 (39)
- juni 2010 (39)
- mei 2010 (47)
- april 2010 (45)
- maart 2010 (48)
- februari 2010 (45)
- januari 2010 (49)
- december 2009 (54)
- november 2009 (46)
- oktober 2009 (48)
- september 2009 (53)
- augustus 2009 (45)
- juli 2009 (50)
- juni 2009 (58)
- mei 2009 (54)
- april 2009 (59)
- maart 2009 (55)
- februari 2009 (43)
- januari 2009 (41)
- december 2008 (49)
- november 2008 (39)
- oktober 2008 (49)
- september 2008 (43)
- augustus 2008 (42)
- juli 2008 (46)
- juni 2008 (41)
- mei 2008 (42)
- april 2008 (45)
- maart 2008 (42)
- februari 2008 (45)
- januari 2008 (37)
- december 2007 (39)
- november 2007 (44)
- oktober 2007 (59)
- september 2007 (49)
- augustus 2007 (50)
- juli 2007 (55)
- juni 2007 (58)
- mei 2007 (60)
- april 2007 (36)
- maart 2007 (50)
- februari 2007 (38)
- januari 2007 (44)
- december 2006 (35)
- november 2006 (54)
- oktober 2006 (32)
- september 2006 (39)
- augustus 2006 (45)
- juli 2006 (46)
- juni 2006 (41)
- mei 2006 (54)
Rubrieken
- Advertorial
- Bijeenkomsten
- Breedband
- Censuur
- Column
- Datacentrum
- Domeinnamen
- Downtime
- Governance
- Hardware
- Hosting
- Illegaal
- IPv6
- ISP
- ISPam.nl
- ISPviews
- Jaaroverzicht
- Juridisch
- Koffie
- Maatschappij
- MVO
- Netwerken
- Nieuws uit de branche
- Onderzoek
- Persberichten
- Podcast
- Politiek
- Problemen
- Producten
- Productreviews
- Software
- SPAM
- Thijs Hostwise
- Veiligheid
- Vraag het Mr. Ras
- xCAT.nl Publishing