Egyptisch bedrijf: malafide Google-certificaten waren foutje

[Captain Kirk]

Het Egyptische bedrijf dat malafide SSL-certificaten voor verschillende websites van Google had gegenereerd noemt het een foutje dat Google uiteindelijk achter de certificaten kwam en alarm sloeg. Het was namelijk niet de bedoeling dat de certificaten werden ontdekt. Deze week waarschuwde Google internetgebruikers voor malafide Google-certificaten die door het Egyptische MCS Holding waren aangemaakt. Via de certificaten zou een aanvaller Man-in-the-Middle- en phishingaanvallen op internetgebruikers kunnen uitvoeren, om zo wachtwoorden en de inhoud van versleuteld verkeer te onderscheppen.

MCS Holding is een Egyptisch beveiligingsbedrijf dat zakelijke netwerkoplossingen levert. Het was echter een zogeheten "intermediate" certificaatautoriteit (CA) geworden, die aan de Chinese certificaatautoriteit CNNIC was gekoppeld. SSL-certificaten die van een intermediate certificaatautoriteit afkomstig zijn hebben de volledige autoriteit van de CA waaronder ze vallen. Met name Mozilla had grote kritiek op CNNIC dat het MCS Holding toestemming had gegeven om als intermediate CA SSL-certificaten te genereren.

Het Egyptische bedrijf stelt in een verklaring dat het een overeenkomst met CNNIC had gesloten om voor een periode van twee weken als intermediate CA te kunnen optreden. Dit zou nodig zijn voor het testen van een nieuw uit te rollen clouddienst. De test vond in een beveiligd laboratorium plaats waarbij de privésleutel van het CA-certifcaat, voor het genereren van SSL-certificaten, in een firewall was opgeslagen.

De firewall was echter ingesteld om automatisch certificaten te genereren voor websites die op internet werden bezocht. Tijdens een onbewaakt moment in het weekend zou één van de IT-ingenieurs hebben besloten om met Google Chrome te internetten. Chrome beschikt over certificaat pinning, waarmee websites kunnen aangeven door welke CA hun SSL-certificaat is uitgegeven. De browser zal vervolgens deze certificaten op een whitelist plaatsen.

Wordt voor de website een SSL-certificaat gebruikt dat door een andere CA is uitgegeven, dan slaat de browser alarm. Nadat MCS Holding door CNNIC was ingelicht werd het certificaat direct uit de firewall verwijderd en werden alle betrokken partijen gewaarschuwd. Volgens het Egyptische bedrijf gaat het om een menselijke fout die onbedoeld plaatsvond. "We hebben geen aanwijzingen op misbruik en we adviseren dan ook niet dat mensen hun wachtwoord gaan wijzigen of andere actie ondernemen", aldus een woordvoerder van het bedrijf.

Maatregelen

Inmiddels heeft Google het intermediate certificaat van MCS Holding ingetrokken en heeft ook Microsoft een update onder Windowsgebruikers uitgebracht. Uit de omschrijving van de softwaregigant blijkt dat er certificaten voor de domeinen *.google.com, *.google.com.eg, *.g.doubleclick.net, *.gstatic.com, www.google.com, www.gmail.com en *.googleapis.com waren aangemaakt. Firefox komt volgende week met een update om het certificaat in te trekken.

Op de mailinglist van Mozilla-ontwikkelaars is na het incident een verhitte discussie losgebarsten of CNNIC ook niet schuldig is, omdat het allerlei regels zou hebben overtreden. Daarbij willen sommigen dat CNNIC uit de root store van Firefox wordt verwijderd. Mocht Mozilla dit doen dan kan dit zeer grote gevolgen voor met name Chinese Firefoxgebruikers hebben, die daardoor HTTPS-sites met SSL-certificaten van CNNIC en daaronder hangende intermediate CA's niet meer kunnen bezoeken. De Chinese CA heeft Mozilla dan ook gevraagd om CNNIC niet uit de root store te verwijderen.

 

bron: security.nl