Beveiligde verbindingen met sites die nieuwe topleveldomeinen (gTLD's) gebruiken, zijn te spoofen door valide certificaten voor interne domeinnamen te gebruiken. Zo is de schijnbaar beveiligde communicatie af te luisteren, zonder dat er aan het certificaat en de verbinding iets verdachts valt op te merken. Maatregelen tegen deze praktijk zijn voorlopig niet te verwachten.

Onoverzichtelijk

"Het kwetsbaarheidsvenster voor nieuwe gTLD's is tenminste drie jaar", stelt beveiligingscommissie SSAC (Security and Stability Advisory Committee) van gTLD-aanmaker ICANN. Die commissie kaart het beveiligingsprobleem van de nieuwe topleveldomeinen aan in een rapport (PDF). Het CA/B Forum, de vereniging van certificaatverstrekkers (de Certificate Authorities, CA's) en browsermakers, is op de hoogte gebracht. Dat vrijwillige consortium verzoekt zijn leden om per oktober 2016 niet langer certificaten voor interne domeinen te verstrekken.

Voor het spoofen van een nieuwe gTLD is slechts een certificaat voor een gelijknamig intern domein nodig. Daarmee valt dan een zogeheten man-in-the-middle aanval uit te voeren. SSL-certificaten worden voor intern te gebruiken domeinen worden nu door de diverse CA's wereldwijd verstrekt.

Die bedrijven, van uiteenlopend allooi, zijn op die activiteit niet goed te controleren. Het gaat immers om interne domeinen van hun klanten. Externe meting en validering is dan ook niet mogelijk, merkt de SSAC op. Bovendien wordt de aanvrager van zo'n intern certificaat slechts losjes gecontroleerd door de CA, voordat die de aanvraag honoreert. Dit blijkt uit de controle die de SSAC heeft uitgevoerd.

Praktijktest: spoof geslaagd

De ICANN-commissie schetst in zijn rapport namelijk niet alleen de certificaatondermijning voor de nieuwe gTLD's, maar heeft die kwetsbaarheid ook in de praktijk bevestigd. Een lid van de SSAC heeft de gTLD-kwetsbaarheid getest door een certificaat voor www.site aan te vragen bij een CA. De nieuwe topleveldomeinnaam .site is allang bij de ICANN aangevraagd, voor extern gebruik.

De CA heeft wel bemerkt dat www.site geen valide domeinnaam is, voor internetgebruik, en de aanvrager daarop gewezen. Daarbij vroeg het bevestiging dat het om een certificaat voor intern gebruik gaat. De aanvrager bevestigde met een vinkje dat het niet zijn bedoeling is om een via internet toegankelijk domein te bedienen met dit certificaat. Na die bevestiging werd de aanvraag voor www.site toegekend, met een geldigheid van één jaar.

Certificaat goedgekeurd

In de praktijk is het daarmee mogelijk beveiligd verkeer naar alle sites achter de domeinextensie .site af te luisteren. Een partij die een 'intern certificaat' heeft voor een domeinnaam die hetzelfde is als een van de nieuwe topleveldomeinen, kan daarmee beveiligd verkeer naar alle sites onder zo'n domein ongemerkt aftappen. Browser en andere internetprogramma's geven netjes aan dat de communicatie is beveiligd en dat het certificaat voor het domein in orde is.

Naast het verzoek van het CA/B Forum aan CA's en browsermakers om te stoppen met de certificaatverstrekking voor intern gebruik, is er nog een maatregel voorgesteld. Dat is het intrekken van alle certificaten die een gereserveerd ip-adres of een interne domeinnaam bevatten. Dit intrekken moet per 1 oktober 2016 gebeuren.

Communiceren en stilhouden

"Dit is goed nieuws, maar het is nog altijd problematisch, omdat de ICANN van plan is om nieuwe TLD's in 2013 uit te geven", oordeelt de securitycommissie van de ICANN. Die nieuwe domeinen lopen dus risico tot zeker oktober 2016. De SSAC adviseert het risico te beperkten door aanvullende maatregelen te nemen.

Daaronder vallen beter communiceren én de zaak stil houden. De ICANN moet er bij het CA/B Forum en CA's op aandringen om gTLD-aanvragen zo snel mogelijk te behandelen als zijnde toegekende TLD's. De communicatie over de kwetsbaarheid moet echter niet aan de grote klok worden gehangen. "Gezien de potentie voor nevenschade voor gebruikers voordat er beperkende maatregelen zijn doorgevoerd, is het belangrijk om de correspondentie vertrouwelijk te voeren."