Overslaan en naar de inhoud gaan

Lek in Let's Encrypt gedicht

Let’s Encrypt stopt met de TLS-SNI-validatie omdat die in enkele gevallen niet veilig is. Je kunt er een certificaat mee krijgen voor de website die niet je eigendom is.
Let's Encrypt
© Let's Encrypt
Let's Encrypt

Let’s Encrypt kent HTTPS-webites gratis en geautomatiseerd certificaten toe. Voor die toekenning hanteert deze non-profit certificaat autoriteit (CA) drie manieren om via zijn ACME-protocol (Automatic Certificate Management Environment) verzoeken voor TLS-certificaten te valideren. Deze certificaten worden geacht veilige verbindingen te garanderen als gebruikers op het web gaan met het bekende slot-icoon. Alleen de TLS-SNI-validatie wordt nu uit gebruik genomen. De twee andere methodes, HTTP-01 en DNS-01, blijven wel in werking.

TLS-SNI kan misbruikt worden door aanvallers om HTTPS-certificaten te verkrijgen voor websites waarvan zij niet de eigenaar zijn. Het gevaar hierbij is dat de aanvaller een domeinnaam kan misbruiken die verwijst naar een hosting service. De aanvaller kan dit domein gebruiken met een illegaal toegekend certificaat om neppagina’s betrouwbaar te laten lijken zonder dat die aanvaller eigenaar is van het domein. TLS-SNI is hiervoor te misbruiken, maar ook de opvolger hiervan, TLS-SNI-02, die al gepland was. Het misbruik wordt ook mogelijk gemaakt doordat veel hosting providers niet controleren wie de eigenaar is van een domein dat zij hosten. Het misbruik is vooral mogelijk bij cloudproviders.

Het lek is vorige week ontdekt door Frans Rosén, onderzoeker bij Detectify.

De Internet Security Research Group (ISRG),de non-profit-organisatie achter Let’s Encrypt, laat weten dat TSL-SNI-validatie definitief gestopt is. Dat geldt ook voor versie 2 die nog niet in gebruik is.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in