Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

SSL certificaten en MD5: Hoe nu verder

  • Door
  • Randy ten Have
  • geplaatst op
  • 5 januari 2009 08:03 uur

Vorige week werd bekend dat onderzoekers een manier gevonden hadden om enkele SSL-certificaten zelf na te maken door zelf een intermediair certificaat na te maken. Zou je deze ’toepassing’ verder ontwikkelen, kun je het beveiligde verkeer van een server omleiden naar een eigen server, en zo bijvoorbeeld creditcard gegevens misbruiken voor andere doeleinden. Over het lek zelf is inmiddels al genoeg geschreven op andere websites. maar hoe nu verder?

Verisign heeft inmiddels de lekken binnen haar CA (rootcertificaat) weten te dichten. Eind deze maand moet deze overstap rond zijn, zo verwacht het bedrijf. Het bedrijf geeft tevens aan blij te zijn dat onderzoekers hier onderzoek naar gedaan hebben, ze willen, naar eigen zeggen, te alle tijden hun veiligheid verhogen. Ook is er een plugin ontwikkeld dor Firefox gebruikers kunnen installeren om zo te controleren of een website een met MD5 gesigneerd certificaat bezitten. Bekende certificaten die met een MD5 algoritme zijn ondertekend zijn de RapidSSL certificaten, bij veel providers erg in trek omdat dit betaalbare ‘single root’ certificaten zijn.

Xolphin, een Nederlandse leverancier van SSL-certificaten heeft inmiddels enkele duizenden websites onderzocht en komt tot de conclusie dat certificaten uitgegeven door Comodo, DigiNotar, Verisign en Thawte allemaal gebruik te maken van SHA1 encryptie en dus veilig gebruikt kunnen worden. Certificaten uitgegeven door GeoTrust (RapidSSL) en resellers van GeoTrust blijken wel allemaal gebruik te maken van MD5 hashes. GeoTrust is direct gestopt met het uitgeven van certificaten met deze MD5 handtekeningen, en vervangt certificaten met MD5 handtekeningen zonder kosten.

“Het actief hebben van een certificaat met MD5 handtekening vormt overigens geen beveiligingsrisico, het is niet noodzakelijk om bestaande certificaten te vervangen. Het is echter wel mogelijk dat de root certificaten welke gebruikt zijn voor het uitgeven van deze certificaten in de toekomst zullen vervallen, of niet meer door alle browsers worden ondersteund.”, zo laat Maarten Bremer van Xolphin aan ISPam.nl weten.

Paul van Brouwershaven, 5 januari 2009 9:25 am

@Randy: "Certificaten uitgegeven door GeoTrust (RapidSSL) en resellers van GeoTrust blijken wel allemaal gebruik te maken van MD5 hashes."

In tegenstelling tot jou bericht zijn de SSL Certificaten van GeoTrust niet ondertekend met een MD5 algorithme.

Zie de tool welke Networking4all heeft ontwikkeld om dit te controleren:

https://www.networking4all.com/nl/helpdesk/tools/site+check/?fqdn=products.geotrust.com

Dit is wel het geval met de RapidSSL certificaten welke inmiddels enkel nog worden uitgegeven met een SHA1 handtekening.

Alles site kunnen worden gecontroleerd op:

https://www.networking4all.com/nl/helpdesk/tools/site+check/

Sebastiaan Stok, 5 januari 2009 11:37 am

Alleen het Root certificaat van RapidSSL is nog MD5.
Maar het probleem is dat je niet even kan omgooien omdat de browser hem dan als onveilig bestempeld.
Want die heeft alleen de oude CA in zijn lijst staan.

Wat eigenlijk weer op een probleem met SSL duid, als je de CA niet kent dan pakt hij hem niet.
Eigenlijk zou je een Organisatie moeten hebben die een lijst bijhoud en zodanig bijwerkt, en de browser via een die website laten controleren als hij die CA niet kent om toch zekerheid te hebben.

Maarten, 5 januari 2009 2:54 pm

@Paul:
"RapidSSL.com is owned and operated by GeoTrust, Inc. Geotrust (www.geotrust.com) is the fastest-growing SSL Certificate Authority worldwide."

GeoTrust en Thawte zijn weer van Verisign, maar dat is je vast wel bekend :).

Paul van Brouwershaven, 5 januari 2009 2:56 pm

Zeker is dat bij ons bekend, maar ze hebben wel een eigen root

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.