Let's Encrypt dicht achterdeur bij bevestigen aangevraagde tls-certificaten

[Captain Kirk]

Let's Encrypt ondersteunt sinds een aantal dagen een andere manier voor het bevestigen van aangevraagde tls-certificaten, wat moet voorkomen dat aanvallers een certificaat in handen kunnen krijgen. Tls-certificaten worden gebruikt voor het opzetten van een versleutelde verbinding tussen websites en bezoekers en identificatie. Let's Encrypt, dat gratis tls-certificaten uitgeeft, beschikt over verschillende methodes om te controleren of de aanvrager van een certificaat ook de eigenaar van het bijbehorende domein is.

Een van de methodes is domeinvalidatie. Daarbij genereert de certificaatautoriteit een willekeurige string die de certificaataanvrager via zijn domein beschikbaar moet maken, bijvoorbeeld via http of een dns txt-record. Daarmee kan de aanvrager aangeven dat hij controle over het domein heeft, en dus de legitieme beheerder is. Bij het uitvoeren van domeinvalidatie is er echter nog geen certificaat. Wanneer de certificaatautoriteit (CA) verifieert dat het domein over de vereiste string beschikt gebeurt dit dan ook via het onversleutelde http, wat kwetsbaar is voor man-in-the-middle-aanvallen.

"We hebben dus een heel proces om websites certificaten van certificaatautoriteiten te laten krijgen, om ervoor te zorgen dat ze niet kwetsbaar voor man-in-the-middle-aanvallen zijn, waar in het gebruikte proces een certificaatautoriteit een website verifieert op een manier die kwetsbaar is voor man-in-the-middle-aanvallen. Als je niet bekend bent met de CA-industrie, zie je misschien niet de logica hier", zegt webontwikkelaar Hugo Landau.

Uitgegeven certificaten worden bijgehouden in Certificate Transparency (CT) logs. Zelfs wanneer een aanvaller de validatie van een domein door een certificaatautoriteit via een man-in-the-middle-aanval weet te onderscheppen, en zo het certificaat in handen krijgt, is het voor de echte domeineigenaar zichtbaar in het CT-log. Ondanks de kwetsbaarheid van het domeinvalidatiemodel, blijkt het verkeerd uitgeven van certificaten een zeldzaamheid te zijn. Dat neemt niet weg dat het model kwetsbaar is voor man-in-the-middle-aanvallen .

Sinds een aantal dagen ondersteunt Let's Encrypt echter ACME (Automatic Certificate Management Environment) CAA (Certification Authority Authorization) account and method binding, die deze achterdeur dicht, aldus Landau. Daarbij maakt de certificaataanvrager een specifiek dns-record aan waarin de naam van de certificaatautoriteit staat die voor de domeinnaam een certificaat mag uitgeven en een specifiek account. Dit is dan het account van de certificaataanvrager.

Zelfs wanneer een aanvaller een certificaatautoriteit, zoals Let's Encrypt, kan overtuigen dat ze de legitieme eigenaar van een domein zijn, kunnen ze niet zomaar een account bij Let's Encrypt aanmaken en daarmee het certificaat ontvangen. Het CAA-record staat namelijk alleen toe dat een bepaald, door de domeineigenaar opgegeven account, het certificaat aanvraagt. Daarnaast kunnen de aanvallers ook geen certificaatverzoek bij een andere certificaatautoriteit indienen, aangezien in het CAA-record staat dat alleen de opgegeven certificaatautoriteit dit mag doen.

 

bron: https://www.security.nl