Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Vals certificaat voor Windows Live toont zwakte aan in uitgifte SSL-certificaten

  • Door
  • Arnout Veenman
  • geplaatst op
  • 19 maart 2015 08:00 uur

Er was de afgelopen dagen nogal wat te doen rondom de uitgifte van een vals SSL-certificaat voor de live.fi, de domeinnaam die Microsoft gebruikt voor Windows Live-diensten in Finland. Nu blijkt een Finse systeembeheerder het SSL-certificaat te hebben aangevraagd om te testen of dat hem zou lukken. En dat lukte dus ook daadwerkelijk.

De systeembeheerder had, om te kijken of dat mogelijk is, geprobeerd het e-mailadres hostmaster@live.fi te registeren bij Windows Live. Tot zijn eigen verbazing lukte dat ook nog eens. Daarna probeerde hij met het bewuste e-mailadres een SSL-certificaat voor de domeinnaam live.fi aan te vragen. Ook dat lukte. Dat meldt een Finse nieuwswebsite.

De systeembeheerder was ineens de trotste bezitter van een SSL-certificaat voor live.fi. Hij stelde de lokale telecomwaakhond en Microsoft hiervan op de hoogte. Deze reageerden echter allebei niet. Uiteindelijk duurde het nog een maand voor dat Microsoft in actie kwam en het certificaat liet intrekken door Comodo dat het certificaat had uitgegeven en plaatste het daarna op de Certificate Trust-list van Windows zodat het valse SSL-certificaat niet meer vertrouwd wordt.

Naast de vraag hoe serieus Microsoft met beveiliging omgaat, laat dit incident ook een zwakke plek zien in de uitgifte van SSL-certificaten. Een ieder die eenmalig een e-mail kan ontvangen op e-mailadressen admin@, administrator@, postmaster@, hostmaster@ of webmaster@ onder een bepaalde domeinnaam, kan er een SSL-certificaat bij Comodo voor die domeinnaam aanvragen. Bij veel andere Certificate Authorities is dat overigens niet anders.

De vraag die resteert is of dit daadwerkelijk als een probleem moet worden gezien. Is er op dit punt ook verantwoordelijkheid van de domeinnaameigenaar om te zorgen dat deze e-mailadressen niet bij een verkeerd persoon uitkomen? Of moeten we domeinnaam gevalideerde SSL-certificaten simpelweg niet vertrouwen en enkel vertrouwen op Extended Validation SSL-certificaten “met de groene balk”, waarbij de aanvrager eerst wordt doorgelicht, vóórdat het certificaat wordt afgegeven?

Vraag van de dag

Is uitgifte van SSL-certificaten op basis van één e-mailtje aan bijv. admin@domein.tld een probleem?
Bekijk resultaten

Peter, 20 maart 2015 1:16 pm

SSL uitgeven met behulp van 1 email adres altijd een drama geweest.
Mail komt niet aan, klant heeft geen van de te kiezen mailboxen aangemaakt, etc...
Maar wij geven nu SSL certificaten uit met behulp van een TXT record in de DNS zone, of het plaatsen van een bepaald stukje html(code) op de site.
Als email onveilig lijkt te zijn, is deze methode ook nog eens veiliger + makkelijker, zonder extra kosten.

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.