Facebook publiceert tools om onterecht uitgegeven certificaten te detecteren

[Captain Kirk]

Facebook heeft tools gepubliceerd waarmee ontwikkelaars en domeinhouders voor onterecht uitgegeven tls-certificaten worden gewaarschuwd, wat moet helpen bij het detecteren van man-in-the-middle-aanvallen. Tls-certificaten worden gebruikt voor het opzetten van een versleutelde verbinding tussen websites en hun bezoekers.

Op dit moment zijn er honderden certificaatautoriteiten die voor nagenoeg elke website op het internet een geldig tls-certificaat kunnen uitgeven. Een hack van een dergelijke certificaatautoriteit, zoals DigiNotar, of in het geval van een malafide certificaatautoriteit, kan ervoor zorgen dat er tls-certificaten worden uitgegeven waarmee een aanvaller man-in-the-middle-aanvallen kan uitvoeren. Doordat het tls-certificaat van een vertrouwde certificaatautoriteit afkomstig wordt het namelijk door de browser vertrouwd, die zodoende geen waarschuwing aan de gebruiker laat zien.

Om onterecht uitgegeven certificaten te detecteren bedacht Google een systeem genaamd Certificate Transparency. Bij Certificate Transparency verplichten browsers dat een https-website bewijs aanlevert dat het certificaat in een openbaar Certificate Transparency-log voorkomt. Dit is een eenvoudige netwerkdienst die een archief van uitgegeven certificaten bijhoudt. Certificaten kunnen alleen aan dit log worden toegevoegd en niet worden verwijderd of aangepast.

Ze gebruiken verder een cryptografische methode om manipulatie te voorkomen en kunnen door het publiek worden gecontroleerd. Via zogeheten 'monitors' wordt er periodiek in de log-bestanden naar verdachte certificaten gezocht. Zodoende kunnen onterecht uitgegeven certificaten worden gedetecteerd, alsmede certificaatautoriteiten die zijn gehackt of kwaadaardig zijn.

Tools van Facebook

Vorig jaar december lanceerde Facebook al een monitoringtool voor Certificate Transparency-logs, waarmee ontwikkelaars en domeinhouders naar certificaten kunnen zoeken en een waarschuwing ontvangen wanneer er nieuwe certificaten voor hun domeinen zijn uitgegeven. Nu komt het sociale netwerk met verschillende nieuwe tools die bij de detectie van onterecht uitgegeven certificaten moeten helpen.

Via de Webhooks-programmeerinterface kunnen ontwikkelaars een domein opgeven dat moet worden gemonitord. Elke keer dat Facebook een nieuw certificaat voor dit domein detecteert, wordt er een request met informatie over het certificaat naar de server van de ontwikkelaar gestuurd. Daarnaast is er ook een progammeerinterface (api) voor het analyseren van certificaten vrijgegeven en ondersteunt Facebook nu ook push-notificaties. In plaats van waarschuwingen per e-mail kunnen ontwikkelaars ook via Facebook voor onterecht uitgegeven certificaten worden gewaarschuwd.

 

 

bron: security.nl