Het systeem van certificaatautoriteiten (CA’s) voor het beveiligen van internetcommunicatie is fundamenteel onbetrouwbaar. Dat bleek eens te meer met de hack van een Comodo-partner en het falsificeren van SSL-certificaten door een Iraanse hacktivist.

Valse certificaten

Maar er is veel meer aan de hand. Veel CA’s ondertekenen certificaten van domeinen waarvan de integriteit en uniciteit niet of niet goed is gecontroleerd. Het veiligst is om alleen de  fully qualified domain name (FQDN) te ondertekenen.

Maar veel CA’s zondigen tegen dit principe en signen dus ook niet-unieke domeinen. Veel bedrijven willen dit voor het intranet of de mailserver, maar laten na ook hun unieke domein te ondertekenen.

Zo zijn er duizenden ongekwalificeerde en totaal niet unieke domeinen zoals ‘exchange’ of ‘localhost’ ondertekend. Dit zet de deur wagenwijd open voor man-in-the-middle aanvallen van hackers.

Een slachtoffer merkt hier niets van: de browser geeft netjes https en een slotje aan, terwijl hij in werkelijkheid wordt omgeleid naar een malafide site om bijvoorbeeld gebruikersnaam en wachtwoord te oogsten.

PKI Overheid

Digitale rechtenorganisatie EFF vraagt aandacht voor dit nijpende probleem. Middels een soort ‘zwarte lijst’ van CA’s moet er meer bewustzijn komen voor deze kwestie.

Op die lijst staan tientallen CA’s, waaronder de bekende spelers als VeriSign, Comodo en Thawte. Maar ook Nederlandse certificaatautoriteiten maken zich schuldig aan het signen van deze ongekwalificeerde, niet-unieke domeinen, waaronder Getronics PinkRoccade PKIoverheid, DigiNotar, KasBank en Terena. De Amerikaanse hostinggigant GoDaddy is de dubieuze kampioen van de lijst met 11.615 ‘foute’ certificaten.

Branchebreed probleem

Getronics en DigiNotar beveiligen veel online diensten van de Nederlandse overheid, waaronder Digid. Getronics, KasBank en Terena waren niet bereikbaar voor commentaar.

Een woordvoerder van DigiNotar benadrukt dat dit probleem branchebreed is. Het bedrijf zegt fraude met niet-unieke domeincertificaten te voorkomen door de organisatienaam en identificatie mee te geven. “Het veiligheidsniveau van dergelijke DigiNotar diensten is dus op niveau.”

“Voor gebruik richting consumenten is een aantal jaren geleden het  EV SSL initiatief in het leven geroepen. EV geeft een groene balk in de browsers. Dit stelt FQDN verplicht bij de validatie. DigiNotar neemt daaraan deel en ondersteunt dit van harte,” aldus de zegsman.

Op advies van Microsoft

Een andere Nederlandse leverancier van certificaten, Xolphin, spingt op de bres voor zijn concurrenten. “Een zwarte lijst is onzinnig, wij kennen geen enkele CA die deze certificaten niet uit geeft. Er moeten zeker zo snel mogelijk minimale richtlijnen voor komen, maar dit is een bekend probleem wat al jaren speelt,” aldus Maarten Bremer, directeur van Xolphin. “Het is echter wel kwalijk dat interne domeinnamen zijn gebruikt in de EV certificaten met extra validatie, deze zijn juist geīntroduceerd om de problemen met de normale certificaten op te lossen.”

Als er iemand schuld heeft aan de tienduizenden certificaten van niet-unieke domeinen, dan is het Microsoft. Bremer: “Microsoft is begonnen met het adviseren van lokale domeinen te valideren voor Exchange en dergelijke. Dat dit niet verstandig is, is voortschrijdend inzicht. De branche is nu hard bezig dit aan te pakken, maar dat duurt nog wel even.”