GlobalSign meldt incident met in 2010 aangevraagd ssl-certificaat

[Captain Kirk]

Certificaatautoriteit GlobalSign heeft vorige week een in 2010 aangevraagd ssl-certificaat met zwakke encryptiesleutel uitgegeven, waarmee het de certificaatregels overtrad. Het certificaat is inmiddels ingetrokken, maar Google maakt zich zorgen of GlobalSign nog wel in staat is om op een veilige wijze certificaten uit te geven.

Op 21 mei 2010 vroeg de eigenaar van het domein 'celticpapaya.com' een ssl-certificaat aan. Voordat een certificaatautoriteit een certificaat uitgeeft moet eerst de aanvrager bevestigen dat hij de eigenaar van het domein is. Dit kan door middel van een validatiemail worden gedaan. In dit geval werd de validatiemail niet meteen verstuurd, omdat het woord 'pay' in de domeinnaam voorkwam.

Een medewerker van GlobalSign moest eerst een phishingcontrole uitvoeren voordat de validatiemail uitging. De eigenaar van het domein besloot zo'n vijftig minuten na zijn eerste bestelling opnieuw een certificaat voor het domein aan te vragen, mogelijk omdat hij de verwachte validatiemail nog niet had ontvangen. Na de phishingcontrole door de GlobalSign-medewerker werden de validatiemails op 24 mei 2010 voor beide bestellingen verstuurd. Op 27 mei 2010 bevestigde de domeinhouder de validatielink van de tweede bestelling en werd het certificaat uitgegeven.

Door nog onbekende reden werd op 4 februari van dit jaar de validatielink in de validatiemail van de eerste bestelling uit 2010 geopend. Daarop werd deze eerste bestelling alsnog verwerkt en een certificaat met een RSA-1024 key uitgegeven. Het is sinds 2013 voor certificaatautoriteiten verboden om certificaten met een dergelijke key uit te geven. De gebruikte sleutel moet tegenwoordig minimaal 2048 bits zijn.

Op het moment van de aanvraag in 2010 was het echter nog wel toegestaan om certificaten met een RSA-1024 key uit te geven. Acht uur na de uitgifte van het certificaat werd het door GlobalSign ingetrokken. Tevens werd er een onderzoek ingesteld hoe een bestelling voor een certificaat met een dergelijke zwakke sleutel ongemerkt kon worden afgehandeld.

GlobalSign heeft nu een uitgebreid rapport over het incident gepubliceerd. Ryan Sleevi van Google heeft echter nog de nodige vragen en maakt zich ook zorgen. Sleevi houdt vanuit Google toezicht op certificaatautoriteiten en is bijvoorbeeld degene die aankondigt wanneer Chrome certificaten van bepaalde partijen gaat blokkeren vanwege het overtreden van de regels. In dit geval maakt Sleevi zich zorgen dat de infrastructuur van GlobalSign inmiddels zo complex is geworden dat de certificaatautoriteit mogelijk niet meer in staat is om op een veilige wijze en volgens de regels certificaten uit te geven. GlobalSign heeft nog niet op de vragen van Sleevi gereageerd.

 

 

bron: https://www.security.nl