Govcert zegt vertrouwen op in MD5-ssl's

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (0)
Aanbevelen

Gepubliceerd: Zaterdag 17 januari 2009

De Nederlandse overheid raadt bedrijven af om nog langer MD5 ssl-certificaten te gebruiken. Bestaande toepassingen moeten zo snel mogelijk worden uitgefaseerd.

Het advies (pdf) volgt op de publicatie van de onderzoeksbevindingen van een groep beveiligingsexperts die in december een manier toonden om ssl-certificaten te klonen die met een MD5-handtekening zijn ondertekend. Criminelen zouden daarmee phishing sites kunnen maken die niet van de echte versie te onderscheiden zijn.

Govcert raadt het gebruik van encryptie-certificaten die met MD5 zijn ondertekend al langer af. "Maar er zijn nog steeds bedrijven die het controlesysteem nog steeds gebruiken. Alleen is bij ons niet bekend hoeveel dat er precies zijn", zegt een woordvoerder van Govcert tegen de redactie.

Volgens de woordvoerder zijn bij Govcert nog geen grootschalige aanvallen via MD5 geregistreerd, maar zij kan ook niet uitsluiten dat er inmiddels valse ssl-certificaten in omloop zijn. "Het kan misbruikt worden, dat hebben de onderzoekers ook zeker aangetoond. Maar tot nu toe heeft dat nog niet op grote schaal plaats gevonden. Ons advies is dan ook preventief."

Versleuteling

Een ssl-certificaat moet bezoekers het vertrouwen geven dat het webverkeer correct wordt versleuteld. Daarbij wordt bij extended validation (EV) certificaten ook de identiteit van de uitgever van een site gecontroleerd. De bezoeker herkent een site met een ssl-certificaat aan een geel slotje, en bij moderne browsers (zoals IE7 en Firefox 3) kleurt bij EV-certificaten de adresbalk van de browser groen.

In principe kunnen alleen officiële 'certificate authorities' (CA's) ssl-certificaten uitgeven. Deze plaatsen een beveiligde digitale handtekening op het certificaat waarmee browsers echte van valse certificaten onderscheiden. De onderzoekers zijn er nu in geslaagd om de MD5-handtekening te ontcijferen. Daardoor kunnen zij nu certificaten ondertekenen zonder dat browsers die als vervalsing herkennen.

Verisign, een grote aanbieder van SSL-certificaten, suste eerder nog dat reeds uitgegeven certificaten geen risico lopen. De firma heeft wel besloten om de MD5-handtekening versneld af te schaffen. Klanten kunnen hun certificaten gratis inruilen voor een veilige variant.

Bron: Webwereld

Bron: Techworld

Totaal 0 reactiesLaatste reacties


Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Houdt grip op UC-uitdagingenUnified communications biedt heel veel, maar heeft ook specifieke uitdagingen!
  • Kostenbesparing voor long tail appsOplossing voor kostenkwesties in VDI. Technologie geschikt voor long tail apps.
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)