Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

VeriSign: Onze SSL-certificaten kunnen niet worden misbruikt

  • Door
  • Arnout Veenman
  • geplaatst op
  • 7 augustus 2009 08:01 uur

VerisignVorige week werden er tijdens een Black Hat conferentie een ernstig lek onthult. Door dit lek kan een aanvaller door een SSL-certificaat te bemachtigen voor een domeinnaam met een karakter dat er niet in hoort (null-string) elke browser laten geloven dat het met een willekeurige andere website te maken te heeft.

SSL Certificate Authority VeriSign heeft in een reactie op de onthulling van het lek laten weten dat geen enkel van de door haar uitgegeven SSL-certificaten null-strings bevatten, waardoor SSL-certificaten van VeriSign niet kunnen worden misbruikt voor dit type aanval. Het zelfde geldt voor SSL-certificaten van VeriSign dochtersGeoTrust, thawte en RapidSSL.

Volgens VeriSign product marketing vice president Tim Callan, is tot dat alle browser-fabrikanten het lek gedicht hebben, de enige oplossing om gebruik te maken van EV-SSL certificaten (van VeriSign). De uitgifite van EV-SSL certificaten is aan strenge eisen gebonden. Zodoende is de kans dat de domeinnaam in een EV-SSL certificaat een null-string bevat nihil.

Mozilla heeft patches uitgebracht voor Firefox die het lek dichten.

Paul van Brouwershaven, 7 augustus 2009 9:50 am

Ook GlobalSign heeft van de week al aangegeven dat het bij hun systeem nooit mogelijk is geweest om een certificaat met een nul byte string aan te vragen.

Zie het persbericht:
http://www.globalsign.com/company/press/090804-ssl-vulnerability.html

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.