Het advies (pdf) volgt op de publicatie van de onderzoeksbevindingen van een groep beveiligingsexperts die in december een manier toonden om ssl-certificaten te klonen die met een MD5-handtekening zijn ondertekend. Criminelen zouden daarmee phishing sites kunnen maken die niet van de echte versie te onderscheiden zijn.

Govcert raadt het gebruik van encryptie-certificaten die met MD5 zijn ondertekend al langer af. "Maar er zijn nog steeds bedrijven die het controlesysteem nog steeds gebruiken. Alleen is bij ons niet bekend hoeveel dat er precies zijn", zegt een woordvoerder van Govcert tegen de redactie.

Volgens de woordvoerder zijn bij Govcert nog geen grootschalige aanvallen via MD5 geregistreerd, maar zij kan ook niet uitsluiten dat er inmiddels valse ssl-certificaten in omloop zijn. "Het kan misbruikt worden, dat hebben de onderzoekers ook zeker aangetoond. Maar tot nu toe heeft dat nog niet op grote schaal plaats gevonden. Ons advies is dan ook preventief."

Versleuteling

Een ssl-certificaat moet bezoekers het vertrouwen geven dat het webverkeer correct wordt versleuteld. Daarbij wordt bij extended validation (EV) certificaten ook de identiteit van de uitgever van een site gecontroleerd. De bezoeker herkent een site met een ssl-certificaat aan een geel slotje, en bij moderne browsers (zoals IE7 en Firefox 3) kleurt bij EV-certificaten de adresbalk van de browser groen.

In principe kunnen alleen officiële 'certificate authorities' (CA's) ssl-certificaten uitgeven. Deze plaatsen een beveiligde digitale handtekening op het certificaat waarmee browsers echte van valse certificaten onderscheiden. De onderzoekers zijn er nu in geslaagd om de MD5-handtekening te ontcijferen. Daardoor kunnen zij nu certificaten ondertekenen zonder dat browsers die als vervalsing herkennen.

Verisign, een grote aanbieder van SSL-certificaten, suste eerder nog dat reeds uitgegeven certificaten geen risico lopen. De firma heeft wel besloten om de MD5-handtekening versneld af te schaffen. Klanten kunnen hun certificaten gratis inruilen voor een veilige variant.

Bron: Webwereld Bron: Techworld