Recent uitgegeven digitale certificaten voor interne hosting zijn nu op zoek naar verbannen vanwege misbruik, andere CA’s geven de nieuwe hostingserver niet uit en gebruiken de oude die ernstige bugs bevat
[dropcap]C[/dropcap]omodo zei maandag dat het een bug heeft gewijzigd die leidde tot de uitgifte van enkele nu verboden geavanceerde authenticaties. Andere CA’s hebben mogelijk hetzelfde probleem bij het afgeven van de certificeringen van de gecertificeerde autoriteit, maar een deel van de autoriteit die de inbreuk op de beveiliging niet weet, gebruikt nog steeds hetzelfde onderdeel in het forum, dat is wat schoon moet zijn van de hostingserver, de nieuwe server heeft zijn vastgesteld door het management, maar enkele van de andere CA’s ontbreken niet op deze nieuwe server.
Volgens nieuwe richtlijnen van het CA/Browser Forum (CAB) die op 1 november van kracht zijn geworden, mogen certificeringsinstanties (CA’s) geen nieuwe SSL/TLS-certificaten (Secure Sockets Layer/Transport Layer Security) uitgeven voor interne hostnamen. Comodo was klaar voor de verandering van het principe, maar op 30 oktober werd een “onopvallende bug” gepresenteerd in het uitgiftekader, schreef Rob Stradling, senior innovatief werkonderzoeker, in een bericht op het CAB Forum.
Comodo repareerde bugs via online digitale handtekeningcertificaten
“Ongeacht onze code-audit en QA-formulieren, deze bug is nog steeds in de creatiecode terechtgekomen”, schreef Stradling. Het resultaat was dat er uiteindelijk acht goedkeuringen werden afgegeven die niet hadden mogen worden afgegeven, en die authenticaties zijn nu verworpen, stelde hij samen. Verschillende CA’s hebben mogelijk hetzelfde probleem gehad. Stradling stelde dat “we resistente authenticaties hebben ontdekt die zijn uitgegeven door een aanzienlijk aantal verschillende CA’s, maar ik zal deze in een ander bericht archiveren.”
De motivatie achter waarom CA’s SSL/TLS-tests moeten uitgeven voor interne heeft, is het vermijden van man-in-the-center-aanvallen. Organisaties en verenigingen hebben gewoonlijk SSL/TLS-testamenten gekocht voor servers of gadgets met interne hostnamen die niet zichtbaar zijn op het internet van de algemene samenleving. Die testamenten worden gebruikt om de machines te verifiëren die met elkaar in gesprek zijn. Hoe het ook zij, aangezien verenigingen zelf geen CA’s zijn, moesten ze die authenticaties van CA’s kopen.
Hoewel CA’s de vraag naar geautomatiseerde authenticatie voor open gebieden accepteren om te garanderen dat het juiste element erom vraagt, kunnen ze dat niet doen voor interne heeft. Dat maakt het werkbaar voor een agressor om een ​​geavanceerde goedkeuring te krijgen voor een server met een flauwe naam, bijvoorbeeld “local.host”, en deze vervolgens te gebruiken in een aanval om gecodeerde informatie-activiteit van een andere associatie te screenen.
Lees ook:
-
ISIS hackt meer dan 54.000 Twitter-accounts
-
Braziliaanse legerserver gehackt Meer dan 7000 militaire identiteit gelekt,
- Adobe Flash is de beste keuze voor hackers
Tegen oktober 2016 moeten CA’s testamenten voor innerlijke hosts afwijzen als die goedkeuringen nog niet zijn verlopen. “We betreuren het dat ons gebruik van deze dwingende en sinds een tijdje geleden uitgeprobeerde strategiewijziging onder de benchmarks viel die van ons worden verwacht en die we van onszelf verwachten”, schreef Straddling.