SSL beveiliging

[Gup]

Mogguh iedereen ,

Wat een gedoe met die ssl certificaten niet?
Denken we alles zogenaamd "veilig" te doen, en ikzelf dacht nog... iig hebben we globalsign nog (dochter van verysign), blijkt die ook al onveilig te zijn, wat moeten we nu als hoster zijnde?

Certificatenreus Globalsign staakt uitgifte
Laatste update: 7 september 2011 14:46
info

AMSTERDAM – Certificatenverstrekker Globalsign heeft besloten voorlopig geen nieuwe veiligheidscertificaten te verstrekken nadat de hacker van Diginotar stelt toegang te hebben tot Globalsign.
Dat blijkt uit een verklaring op de website van het bedrijf. Diginotar en Globalsign geven veiligheidscertificaten uit die de beveiliging van websites moeten garanderen.

De hacker die achter de aanval op Diginotar zit en zo valse certificaten de wereld instuurde, stelde dinsdag ook toegang te hebben tot vier andere certificatenverstrekkers, waaronder Globalsign. Dat bedrijf doet hetzelfde als Diginotar, maar dan op veel grotere schaal.

Als een vals certificaat wordt uitgegeven, wordt ten onrechte de indruk gewekt dat een website veilig is.

Onderzoek


“Na de verklaring hebben wij als verantwoordelijk bedrijf besloten de uitgifte van certificaten te staken tot ons eigen onderzoek afgerond is. We bieden alvast onze excuses aan voor eventuele overlast”, aldus Globalsign dat dinsdag al direct een onderzoek aankondigde.
_____________________________________________________________________________________________________________________________________________________
Diginotarhacker heeft toegang tot meer certificaten'
Laatste update: 6 september 2011 15:48
info

AMSTERDAM – De persoon die achter de hack op Diginotar zit, is ook verantwoordelijk voor de hack van Comodo in maart van dit jaar. Bovendien zou hij nog toegang hebben tot vier andere bedrijven die veiligheidscertificaten uitgeven.
Dat blijkt uit een verklaring van de hacker die hij op zijn Pastebin-account heeft geplaatst.

Het bedrijf Comodo geeft net als Diginotar certificaten uit waarmee de veiligheid van websites wordt gegarandeerd. Als deze certificaten vervalst worden, zijn de websites niet veilig maar lijkt dit wel zo. Gebruikers hebben dan niet het idee dat er iets mis is en zijn daarom kwetsbaar voor diefstal van privégegevens.

Meer hacks


Bij de hack van Comodo werd net als bij Diginotar met een beschuldigende vinger naar de Iraanse overheid gewezen. Duidelijk is dat in ieder geval dezelfde persoon achter de aanvallen zit en dat de hacker uit Iran komt.

Deze hacker stelt in zijn verklaring bovendien dat hij toegang heeft tot nog vier bedrijven die certificaten uitgeven en dat hij nog steeds nieuwe valse certificaten kan aanmaken.

Om te bewijzen dat de hacker inderdaad achter de aanvallen zit en Diginotar heeft kunnen inflitreren, heeft de man het wachtwoord van de domeinbeheerder gepubliceerd. Ook heeft hij een Twitteraccount opgezet.

Nederlandse overheid

De Nederlandse overheid, die voor de eigen websites gebruikmaakt van Diginotar, heeft inmiddels het vertrouwen opgezegd en gebruikt andere certificaten. Browsers waarschuwen bovendien voor de certificaten.

Het Openbaar Ministerie heeft maandagavond bovendien aangegeven de zaak te zullen onderzoeken.

Windows


Maandag kwam ook aan het licht dat Microsoft de Nederlandse update van Windows niet automatisch zal installeren. Na de update vertrouwt Windows Diginotarcertificaten namelijk niet meer en nog niet alle websites zijn overgestapt op andere certificaten.

Volgens de Nederlandse overheid zou een blokkade van de certificaten te grote gevolgen hebben.

De komende dagen gaat de Vereniging Nederlandse Gemeenten (VNG) testen wat zo'n update voor gevolgen kan hebben voor de ICT bij gemeenten. De meeste gemeenten hebben een of meer beveiligingscertificaten van Diginotar en gebruiken software van Microsoft. Als tijdens een software-update de beveiligingscertificaten niet in orde zijn, kunnen problemen ontstaan.

De VNG adviseert de gemeenten nadrukkelijk om het zekere voor het onzekere te nemen en automatische updates van Microsoft uit te zetten.
__________________________________________________________________________________________________________________________________________________________

Wat een zootje he?

[Mickroz]

nou idd, ik betwijfel het of dit door een enkeling gedaan wordt eigenlijk, anders is dit wel een pienter mannetje waarschijnlijk...

[Carnifex]

Ik betwijfel ook of het één persoon is geweest.
Erg triest dat dit heeft kunnen gebeuren en er zal dus een nieuwe manier van datastromen beveiligen moeten komen..

[Blauwbek]

Ik betwijfel ook of het één persoon is geweest.
Erg triest dat dit heeft kunnen gebeuren en er zal dus een nieuwe manier van datastromen beveiligen moeten komen..

Ik denk dat ook, maar hoe kan je iets 100% dicht maken... dat is near-impossible ben ik bang :/

[Carnifex]

Alles valt te hacken. binnen 10 jaar valt zelfs een 1024 bit AES encryptie (op dit moment is het 256 bits AES voor SSL certificaten) binnen een paar minuten te kraken. Hoe krachtiger PCs worden hoe onmogelijker het wordt om ze te beveiligen.

Ik denk dat er een drastische verandering moet plaatsvinden op het internet. Er is vast een waterdichte oplossing, maar vaak zijn dit soort oplossingen:

1. Prijzig (te prijzig voor de gemiddelde consument)
2. Complex (te complex voor de gemiddelde consument om er gebruik van te kunnen maken)
3. Beperkend. In die zin dat er zwaar wordt gescreened wat iedereen precies doet op zijn/haar PC.

Samenvattend, goede oplossingen voor het SSL probleem zijn te duur, te ingewikkeld en veelal in strijd met de wet.

Het enige wat ik zou kunnen bedenken is dat, mochten we SSL certificaten willen blijven gebruiken er een soort dubbele verificatie moet komen. Zowel aan de client als aan de server kant.
Denk aan bijv. SSH verbindingen met public/private keys.
Ook hier geldt weer, dit valt natuurlijk uiteindelijk ook weer te kraken.