De omstreden en knullig uitgevoerde toevoeging van zelf aan te vragen generieke topleveldomeinen (gTLD's) blijkt een flinke beveiligingsimpact te hebben. De domeinextensies op het hoogste internetniveau, naast bijvoorbeeld .com en .org, maken man-in-the-middle aanvallen mogelijk. Daarbij valt beveiligd verkeer naar één van die nieuwe gTLD's te onderscheppen met een valide en officieel SSL-certificaat (secure sockets layer).

Intern domein versus gTLD

Zo'n volledig legitiem certificaat is dan namelijk voor een intern te gebruiken domein, wat echter hetzelfde kan zijn als zo'n nieuw gTLD. Een bedrijf of instantie die intern bijvoorbeeld het domein .politie gebruikt, kan daarvoor ooit een certificaat hebben aangevraagd en verkregen. Zo'n intern domein is extern niet geldig en op internet dan ook niet bestaand.

Tenminste, tot op heden. De invoer van nieuwe topleveldomeinen maakt overlap mogelijk met intern gebruikte namen. Een certificaat voor beveiligde verbinding met zo'n intern domein kan dan ook worden benut voor een extern gTLD. Zodra zo'n op internet wel geldige naam eenmaal is toegekend door de ICANN.

Onzichtbaar gevaar

Het is niet inzichtelijk of er overlap is met interne domeinnamen en wie daarvoor valide certificaten bezit. Die certificaten kunnen namelijk zijn toegekend door elke willekeurige individuele certificaatverstrekker (Certificate Authority, CA), zoals bijvoorbeeld de Amerikaanse domeinreus GoDaddy of het Nederlandse DigiNotar dat intussen ten onder is gegaan.

De toewijzing van certificaten voor deze interne namen is volledig vrij. Er is geen taakverdeling welke CA op welk niveau intern te gebruiken certificaten mag toekennen. Deze vrijheid geldt ook voor het gebruik van interne namen, en certificaten daarvoor. Dergelijke toewijzingsregels zijn er wel voor het commerciële .com, het voor onderwijs bestemde .edu en natuurlijk ook landsdomeinen als .nl.

Bijkomende complicatie is dat de intern gebruikte namen niet van buitenaf zichtbaar zijn. Dus kunnen die domeinen ook niet in kaart worden gebracht en geverifieerd door CA's, merkt een adviescommissie van internetbeheerder ICANN op. Die SSAC (Security and Stability Advisory Committee) kaart de ondermijning van SSL-certificaten aan in een officieel rapport (PDF).

Aanval al succesvol getest

De onderschepping van beveiligd internetverkeer middels een geldig certificaat voor een interne naam is niet slechts een theoretische kwestie. De SSAC heeft de theorie hierachter al in de praktijk getest; met succes. Een lid van de commissie heeft eind vorig jaar een certificaat voor een intern domein aangevraagd, waarvoor al een gTLD-aanvraag ligt bij de ICANN.

De testnaam is www.site en de gTLD is .site, die is aangevraagd door het 'New gTLD'-consultingbedrijf Urban Brain. Die Japanse firma wil met .site een internationale domeinhostingdienst bieden voor andere partijen. Voor dit nieuwe topleveldomein heeft de SSAC succesvol een intern SSL-certificaat verkregen dat volledig legitiem en valide is.