Forfalskede SSL-certifikater - sagaen fortsætter.

Opdatering: Igen, igen - en ny episode. November 2011: Endnu en hollandsk SSL-udsteder må erkende at der i en periode på 4 år muligvis er foregået udstedelse af SSL certifikater. KPN Corporate Market har fundet denial-of-service værktøjer på interne servere; det kunne tyde på, at sikkerheden er blevet brudt. Dette firma har nu opgivet udstedelse af SSL-certifikater.

DigiNotar, som ikke findes længere, måtte (også) tidligere på året give op, da deres interne sikkerhed blev kompromitteret. 531 forfalskede SSL certifikater var blevet udstedt viste det sig. Se The Registers artikel vedr Operation Black Tulip.

Marts 2011: Ved at hacke (arbejde med lette passwords) hos en italiensk distributør af SSL certifikater lykkedes det, i et kort tidsrum, for en formodet iransk hacker, at få mulighed for at udstede et mindre antal SSL-certifikater til Google Gmail, Skype Microsoft Yahoo og Mozilla.

Slemt nok, men det blev faktisk forhindret at at anvende dem.

Angrebet var ægte og er dokumenteret (i uddrag) her:

-------------------------------------------------------------------------------------------

1. Hello
2.  
3. I'm writing this to the world, so you'll know more about me..
4.  
5. At first I want to give some points, so you'll be sure I'm the hacker:
6.  
7. I hacked Comodo from InstantSSL.it, their CEO's e-mail address Denne emailadresse er beskyttet mod programmer som samler emailadresser. Du skal aktivere javascript for at kunne se adressen.
8. Their Comodo username/password was: user: gtadmin password: [trimmed]
9. Their DB name was: globaltrust and instantsslcms
10.  
11. GlobalTrust.it had a dll called TrustDLL.dll for handling Comodo requests, they had resellers and their url was:
12. http://www.globaltrust.it/reseller_admin/
13.  

-----------------------------------------------------------------------------------------

I lyset af brud på SSL sikkerheden i de senere år, hvor flere af de største SSL-udbydere er blevet ramt er kernen ved dette og andre tilfælde, at der er behov for intern oprydning i branchen.  Det er bundlinjen, set fra en sikkerhedsmæssig vinkel.

Ud med de billige, automatisk udstedte domæne-validerede certifikater (som kan fås helt ned til USD 8,-).  Man bør have det fuldt validerede SSL-certifikat som det lavest mulige produkt.

Fuldt valideret betyder, at SSL-leverandøren checker Domæne-ejerskab via WhoIs-records, kontakter den hos firmaet, der ejer domænet, og som har bestilt certifikatet, og verificerer, at bestilleren er autoriseret til at bestille certifikatet. Først efter at samtlige oplysninger er undersøgt og alt er i orden, udstedes certifikatet.

Skrappere revision af Certificate Authorities (CA'er) er også relevant.

Alle førende CA'er har nu indført skrappere procedurer; dette var en affære som var skadelig for hele branchen og som har fået langtrækkende konsekvenser.  En klar konsekvens er, at det nu er EV-SSL (Extended Validation) certifikater, som man kan regne med. De er betydeligt dyrere, men kræver en langt mere grundig validering af køberen, evt. varemærke, ejerforhold, bemyndigelse, osv.