Dat alternatief voor het huidige certificatensysteem, met verstrekkers als DigiNotar, is eigenlijk geen rechtstreekse vervanging. Het kan de beveiliging via certificaten aanvullen, vertelt Jakob Schlyter van de DANE-werkgroep bij de IETF (Internet Engineering Task Force). DANE geeft een extra beveiligingscheck, maar kan voor bepaalde soorten certificaten op zichzelf staan. Dus toch een vervanging?

Via apart kanaal

“DANE voegt een extra controle toe, en is een apart kanaal", vertelt Schlyter, die in oktober naar Nederland komt voor de najaarsconferentie van de NLUUG. “Als je een beveiligde verbinding wilt maken met een een website, zeg bijvoorbeeld DigiNotar.nl, dan krijg je een SSL-certificaat. Dat wordt dan gecontroleerd aan de hand van een lijst 'trusted certificates'. Via DANE kun je extra informatie krijgen over die hostname, én over de certificaten daarvoor."

De controle via DANE “staat los van de bezochte website, die het certificaat aanlevert." Zo'n certificaat kan immers frauduleus zijn, zoals die voor Google.com - inclusief subdomeinen - die waren uitgegeven door het gehackte DigiNotar. Daarmee valt dan communicatie met zo'n site te onderscheppen, terwijl de browser en eindgebruiker denken dat de verbinding beveiligd is.

Ook kan met een frauduleus certificaat een nepsite zich voordoen als de eigenlijke site. Controle via DANE omzeilt dat probleem, want staat los van de bezochte website: nep of echt. “Dus los van wat je dénkt dat die website is op basis van het certificaat", stipt Schlyter aan.

Bouwen op DNSSEC

DANE staat los van het certificatensysteem doordat het inhaakt op een fundamentele laag van het internet: het domain name system (DNS). En dan ook nog de nieuwere beveiligde variant ervan: DNSSEC. DANE (DNS-based Authentication of Named Entities) is een uitbreiding van internet-adresboek DNS, dat domeinnamen van websites, mailservers enzovoorts vertaalt in de eigenlijke ip-adressen.

DNSSEC voegt daar beveiliging aan toe zodat 'DNS-kaping' wordt voorkomen. Beveiligingsexpert Dan Kaminsky heeft begin 2008 onthuld dat via het gewone DNS verkeer valt om te leiden, zonder dat slachtoffers dat doorhebben. Kort daarna zijn technische details daarover uitgelekt, wat de noodzaak voor DNSSEC flink heeft vergroot.

DigiNotar niet vervalst

Eenzelfde crisissituatie speelt nu voor het huidige certificatensysteem. Formeel gezien zijn de frauduleuze DigiNotar-certificaten namelijk niet vervalst; het zijn echte certificaten, officeel aangemaakt en uitgegeven door DigiNotars systemen. Alleen dus niet willens en wetens door die certificaatverstrekker, maar door de hacker die diep is doorgedrongen in de hele ict-infrastructuur van dat Nederlandse bedrijf.

Bovendien is DigiNotar slechts één van de vele zogeheten Certificate Authorities (CA's) die er wereldwijd zijn. Waarvan vele ook resellers hebben met toegang tot hun certificaat-aanmaaksystemen. Zoals Comodo, dat sinds maart dit jaar wereldberoemd is omdat het toen via een gehackte partner frauduleuze certificaten had aangemaakt. Valse certificaten voor sites van onder meer Google, Mozilla en Skype.

Die internetpartijen zijn ook op de korrel genomen in de DigiNotar-inbraak, die wordt opgeëist door de toenmalige Comodo-hacker. Diezelfde Iraanse hacker claimt nu dat hij is binnengedrongen bij nog veel meer certificaatbedrijven, waaronder GlobalSign. Dat Amerikaanse bedrijf onderzoekt die claims nog, maar heeft wel alvast de Nederlandse forensische specialist Fox-IT ingehuurd die net de DigiNotar-inbraak onderzoekt.

Daarnaast spelen er nog problemen zoals in de praktijk ontbrekende beperkingen voor de keten- of padlengte van CA's. Dat ondermijnt de controle op het al complexe systeem van certificaten en betekent extra risico's in geval van een inbraak, zoals bij Comodo en DigiNotar.

CA-systeem op de helling

Er is dus gegronde reden om aan de betrouwbaarheid van het huidige certificatensysteem te twijfelen. DANE biedt hulp. Schlyter legt uit: “Neem een certificaat voor een website, zeg bijvoorbeeld Google.com, als dat via DANE niet matcht dan wordt de verbinding met die website verbroken." De eindgebruiker krijgt geen pop-up met de vraag of hij toch wil doorgaan. De website blijkt niet vertrouwd en wordt dus niet vertrouwd.

De controle via DANE betreft dus ook een certificaat, maar dan zoals dat is ingevoerd in DNSSEC door de domeinnaameigenaar zelf. Het is een vorm van white listing, van certificaten waarvan de domeinnaameigenaar zelf weet dat hij die heeft aangevraagd, en bij welke CA. Een inbraak bij een certificaatverstrekker kan dus niet zulke grote gevolgen hebben als nu. En een 'DANE-inbraak' bij een domeinnaameigenaar zou alleen die partij zelf raken.

Schlyter benadrukt dat DNSSEC al is voorzien van authenticatie voor de oorsprong van gegevens, waar DANE dan ook op inhaakt. Dat frustreert dan het vervalsen van een certificaatcontrole via dat systeem.

Dubbele certificaten

De Zweedse ict-beveiligingsexpert bevestigt dat er caching-problemen kunnen spelen, zoals al het geval is met gewoon DNS bij bijvoorbeeld een verhuizing van een website. Het duurt dan even voordat de adreswijziging is doorgedruppeld naar alle DNS-servers wereldwijd. Maar in geval van DANE kan een oud en een nieuw certificaat tegelijk geldig zijn, zodat er een periode van overlap is.

Zo'n overlap is juist niet gewenst als een oud certificaat onjuist of frauduleus blijkt, erkent Schlyter. Dan moet een certificaat juist snel mogelijk komen te vervallen. Aan voorzieningen voor het direct intrekken van een certificaat en versneld doorvoeren van de vervanger in DANE wordt nu nog gewerkt. Dit nieuwe authenticatiemiddel is namelijk al jaren in de maak en de specificatie nadert de voltooiing bij het IETF.

Geen meerjarentraject

Schlyter verwacht dat dat over korte tijd rond is. Hij schat in dat de definitieve specificatie over drie maanden af is. Een lang traject à la html5 dreigt dus niet. Dan moet het nog wel worden ingevoerd. Dat is in eerste instantie een taak is voor de browsermakers. “Als iedereen hier goed bovenop zit, kan het over zes maanden al in gebruik zijn. Als niet iedereen er bovenop zit, dan duurt het langer."

Hoelang het duurt voordat DANE echt in gebruik is, kan Schlyter niet zeggen. Na de browsermakers moeten namelijk ook domeinnaameigenaren meegaan. Chrome-maker Google en Firefox-ontwikkelaar Mozilla hebben al interesse, en er zijn ook gesprekken met IE-maker Microsoft.

Eerst moeten die browser nog ondersteuning voor DNSSEC invoeren. Schlyter legt uit dat die beveiligde opvolger van DNS weliswaar wordt uitgerold, maar dat dat 'aan de achterkant' gebeurt. Het ontbreekt nog aan 'native support' in browsers. Hij verwacht wel dat de impact van DigiNotar-gate voor extra haast zorgt. “Naast de schade voor de Nederlandse overheid is er nog de politieke 'fall-out', waar ook de vermeende bron van de hack meespeelt", verwijst de Zweedse expert naar de Iraanse regering.

Niet in belang CA's

Een mogelijk vertragende factor zijn de certificaatautoriteiten. “Ik heb vijf jaar terug al iets gepresenteerd dat vergelijkbaar is met DANE. De CA's waren 'not amused'. DANE is dus niet onbekend voor ze." De extra controle voor deze DNSSEC-aanvulling is echter niet in het belang van de certificaatverstrekkers.

Er zijn twee soorten certificaten, legt Schlyter uit. Reguliere domeincertificaten (DV's), die breed in gebruik zijn, en veiligere certificaten (EV's) die dan ook duurder zijn. “Voor EV's voert de CA extra controles uit. Tenminste, die zou dat moeten doen." Van oorsprong golden die controles ook voor DV's, maar daar is de branche van afgestapt zodat domeincertificaten flink goedkoper konden zijn.

Bovendien zijn die EV-controles deels achtergehaald. Schlyter geeft als voorbeeld de controle of een certificaataanvraag voor een domein wel wordt gedaan door de eigenaar daarvan: dat gebeurt via de mail. “Dat valt via DNS te vervalsen."

Twijfel aan certificaten

De betrouwbaarheid van de huidige EV's begint volgens Schlyter door de DigiNotar-affaire - en eerder al Comodo-gate - te desintegreren. Hij verwacht dat de certificaatbedrijven als reactie met 'extra gecontroleerde' EV's gaan komen. “Ik voorspel een 'EV2'; 'even more authenticated'. Een EEV, zeg maar."

Sommige CA's zijn overigens wel positief over DANE. “Zoals Comodo, waar ik zelf ook een certificaat heb gekocht. Comodo concentreert zich namelijk niet op de low-margin DV's, maar op EV's", verklaart Schlyter deze discrepantie. “En je kunt in DANE ook opnemen wíe je certificaatverstrekker is, voor jouw domeinnamen."

Toch als vervanging

Een op EV gericht certificaatbedrijf kan DANE dus niet als een grote bedreiging zien. Dat kan een misvatting zijn. DANE is weliswaar een aanvullende certificaatcontrole, maar kan ook op zichzelf staan. In ieder geval voor DV's, meent Schlyter. Maar mogelijk ook voor EV's.

Betalen voor de extra controles bij EV's kan zinnig zijn. “Maar je moet je afvragen of het het waard is." Zelfs 'simpele' DV-certificaten kunnen bij elkaar opgeteld toch een jaarlijkse kostenpost zijn, argumenteert hij. Terwijl het niet eens om de kostenvraag moet gaan, maar om de betrouwbaarheid.

“De vraag is het of voor de gebruiker zinnig of beter is." Schlyter heeft het daarbij over zowel de eindgebruiker (zoals de bezoeker van een website) als de domeinnaameigenaar (zoals bijvoorbeeld Google, Skype, Twitter, Facebook of Mozilla). De aanpak (mitigation) van beveiligingsproblemen gebeurt nu reactief, legt hij uit. “We doen aan black listing; datgene blokkeren waarvan je weet dat het niet goed is. DANE is white listing."

'Stop met blacklisting'

Google doet overigens al aan white listing, in Chrome. Die webbrowser van de internetreus heeft daarom ook de frauduleuze DigiNotar-certificaten gelijk al geblokkeerd. Simpelweg omdat die certificaten voor Google.com niet door de eigenaar zelf zijn aangevraagd. Schlyter is daar positief over, maar vraagt zich af of dat systeem wel schaalbaar is. Hij 'adviseert' om die lijst niet in de browser te houden. Opnemen in een gedistribueerd internetsysteem, zoals dus DANE, lijkt hem beter.

DANE luidt volgens Schlyter niet direct het einde in voor domeincertificaten, maar de afbouw kan wel beginnen als het nieuwe authenticatiemiddel eenmaal is geïmplementeerd. Hij voegt daar nog aan toe dat veel certificaten vanwege legacy-redenen nog wel enige tijd in gebruik zullen blijven.

NLUUG-conferentie

Jakob Schlyter spreekt 20 oktober in Ede op de najaarsconferentie van de Nederlandse Unix-gebruikersgroep (NLUUG). Hij verwacht daar wel enkele CA's in het publiek, maar vooral internetbedrijven en system integrators. “Ze zullen daarna niet gelijk morgen DANE kunnen inzetten, maar DANE geeft ze wel nieuwe mogelijkheden."

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.