Onderwerp: SSL-certificaten gekraakt en gekloond

@maxnet: 100% mee eens, maar er is geen reden tot paniek. Je hebt ruim de tijd om alles te vervangen.

@bakker-ict: euh, voor zover ik zie gebruikt https://mijn.postbank.nl/ een certificaat van Thawte CA (als intermediate van Verisign), en is dat SHA-1 signed. Het Intermediate is dat ook. Het root-CA is inderdaad wel MD2 blijkbaar.

Klopt er is geen directe reden tot paniek maar om af te wachten is nu ook weer so simpel & onverstandig

Oorspronkelijk geplaatst door Rollerscapes

Inmiddels heb ik vandaag mijn certificaat (RapidSSL) voor rollerscapes . eu laten vervangen voor een andere. Alleen de root zelf is nog MD5.

Het MD5 probleem wat deze onderzoekers hebben gepresenteerd kan niet nogmaals worden uitgevoerd omdat er geen nieuwe SSL Certificata meer met MD5 worden uitgegeven. RapidSSL was extra gevoelig voor dit probleem omdat deze er bij het uitgeven steeds een oplopend serienummer in het SSL Certificaat gebruikt was.

Inmiddels worden er geen certificaten meer uitgegeven met een MD5 hash. De root van RapidSSL en verschillende andere certificering autoriteiten hebben nog wel een MD5 signing aangezien het root van een CA niet zomaar vervangen kan worden.

Nu is dit verder geen probleem zoals de onderzoekers hebben aangegeven, de hack kan enkel worden uitgevoerd als er een signing plaats vind met MD5. Als deze signing al heeft plaatsgevonden (zoals bij een root certificaat) kan deze niet gebruikt worden om een intermediate van te maken, dit kan enkel worden gedaan als het serienummer voorspeld kan worden bij het aanvragen van een nieuw SSL Certificaat welke wordt uitgegeven met een MD5 signature.

Oorspronkelijk geplaatst door Rollerscapes

Ik heb het certificaat van een klant bij een andere partij besteld (Comodo) en die hebben gelukkig niet dat probleem.

Het overstappen op een SSL Certificaat van Comodo is misschien niet de beste keuzen. Comodo laat haar resellers zelf de validatie uitvoeren maar doet hier zelf nauwelijks controle op houden. Zo bleek onlangs nadat iemand een SSL Certificaat voor mozilla.com had aangevraagd en zonder validatie kon uitgeven. Nu heeft Comodo alle certificaten van deze reseller gecontroleerd maar hoe zit dit bij andere resellers? Om hier 100% zeker van te zijn zouden alle SSL Certificaten van Comodo opnieuw gevalideerd moeten worden en moet de validatie procedure niet worden 'uitbesteed' aan de resellers.

Zie:
http://groups.google.com/group/mozil...0cc829204487bf

In tegenstelling tot het MD5 probleem is het probleem van Comodo nu nog niet echt opgelost en zijn eigenlijk alle SSL Certificaten van dit root onbetrouwbaar aangezien je niet weet of deze wel of niet gevalideerd is.

Oorspronkelijk geplaatst door frankske

De meeste van onze klanten hebben GlobalSign certificaatjes, dus die zijn zowiezo safe.

Dit klopt, GlobalSign heeft op dit moment het sterkte root van alle Certificering Autoriteiten en is hiermee de enigste CA welke voldoet aan de NIST recommendations.

Zie ook:
http://www.globalsign.com/resources/...ed_program.pdf

Oorspronkelijk geplaatst door Bakker ICT

Postbank Root Cert is md2 met RSA encryption ? Of heb ik dit nu verkeerd?

Een root dat is uitgegeven op md2 zoals bijvoorveeld het VeriSign "Class 3 Public Primary Certification Authority" heeft ook geen last van deze hack. Aangezien de hack enkel kan worden uitgevoerd op het moment dat een nieuw SSL Certificaat wordt uitgegeven met een zwakke signature als md5 (of md2).

"Ik heb het certificaat van een klant bij een andere partij besteld (Comodo) en die hebben gelukkig niet dat probleem."

Kleine correctie, dat is 'had'.
Deze was al besteld voor deze problemen bekend waren en ik niet van networking4all had gehoord