VeriSign vervangt onveilige SSL-certificaten

Gepubliceerd: Vrijdag 2 januari 2009

VeriSign heeft onveilige SSL-certificaten uit de handel gehaald nu onderzoekers erin zijn geslaagd om de MD5-handtekening van sommige certificaten te kopiëren.

Toon volledig artikel

stonehead op Vrijdag 2 Januari 2009 11:01

Als er ook maar één iemand op het idee gekomen is om dezelfde hack vorig jaar al uit te voeren gaan alle CA's nog steeds nat. Dat weet niemand, zo zeiden de onderzoekers zelf op 25C3! Verisign kan wel claimen dat de zaak 'resolved' is, maar je weet het niet!

Ter verdediging van Verisign: als het zo zou zijn, is daar niets meer aan te doen. Het zou daarom beter zijn om alvast iets te doen aan de brakke revocation en een systeem te verzinnen waarmee MD2, MD5 en op termijn SHA-1 kunnen worden 'geüpgradet', maar daar hoor je Verisign niet over... en dat heet dan een 'autoriteit' die iedereen maar moet vertrouwen in zijn browser. Waardeloos!

0 / 2

Peter Roozemaal op Vrijdag 2 Januari 2009 12:41

Ja, die "autoriteit" die niets doet om deze hack, waarvan al drie jar bekend is dat hij theoretisch mogelijk is, te voorkomen.
BTW, zou je bevestigings emails voor SSL certificaten met de Kaminski DNS hack naar je eigen email server kunnen omleiden?

1 / 1

SnoW op Vrijdag 2 Januari 2009 11:17

... en bij moderne browsers (zoals IE7 en Firefox 3) kleurt de adresbalk van de browser groen.

Klopt niet. In Firefox 3 kleurt de adresbalk helemaal niet groen (dat is bewust weggelaten om te voorkomen dat mensen SSL-sites per definitie als veilig gaan beschouwen).

3 / 3

Tom Sanders op Vrijdag 2 Januari 2009 11:29

excuses. Je hebt gelijk. Dat geldt alleen voor extended validation (EV) certificaten. Tekst is aangepast.

2 / 2

Jack2 op Vrijdag 2 Januari 2009 13:27

Ook certificaten uitgegeven door Getronics PinkRoccade (KPN) zijn kwetsbaar, omdat zij gechained zijn met het Verisign Class 3 root certificaat dat nog MD2(!) gebruikt.

0 / 0

Sheize op Vrijdag 2 Januari 2009 15:32

Ik vind dit hele probleem meer een principekwestie. Ik ken niemand die ooit heeft gekeken of een adresbalk (deels) groen kleurt of dat er een geel slotje onderaan je taakbalk staat.

0 / 0

Anonymous Coward op Zaterdag 3 Januari 2009 00:00

Tijdens internetbankieren controleer ik dat gele slotje wel.
Maar ik moet gelijk bekennen dat ik eigenlijk niet weet wat ik moet controleren (ben echt een leek mbt dit onderwerp).
Ik zie dan wel de naam van mijn bank vermeld staan, maar hoe weet ik nou dat het echt 100% veilig is.

Het is m.i. zoiet als:

Garagemonteur: "Uw airbags zijn 100% in orde."
Auto eigenaar: "Hoe weet u dat dan zo zeker?"
Garagemonteur: "Omdat ik het gele airbag-is-in-orde-hoor-lampje zie branden tijdens het starten van de auto."
Auto eigenaar: "Dan zal het wel zo zijn."

0 / 2

Adriaan op Zondag 4 Januari 2009 20:31

Juist bij internetbankieren boeit het slotje me niet zoveel: de beveiliging is prima, ook zonder SSL (ik weet bij Triodos in ieder geval zeker dat er niet met het bedrag geknoeid kan worden; als het dan iemand lukt om me naar een andere site om te leiden, en dan het rekeningnummer te veranderen, dan nog doe ik eigenlijk nooit grote betalingen).

Maar bij sites waar bijvoorbeeld privacygevoelige informatie gebruikt wordt vind ik de slotjes wél belangrijk. En die gebruik ik vaker dan internetbankieren.

Overigens ben ik het met mastermind eens dat, alle voorlichting ten spijt, de werking van het slotje te onduidelijk is. Veel mensen weten niet eens dat het slotje niet in de webpagina zélf mag staan (daar kan iedereen wel een plaatje van een slotje, of een logo van thuiswinkel.org zetten).