08 sep 2011 DigitalDynamics Computers Software Hosting Suneco

Veiligheid SSL certificaten

Met de huidige commotie over SSL certificaten (en er mogelijk onveilig web verkeer is), is het voor ons belangrijk om hierover te berichten naar klanten en volgers. Vooraleerst kunnen wij meteen al melden dat de certificaten die door Digital Dynamics en SoftwareHosting bij hun klanten zijn geïnstalleerd te vertrouwen zijn.

Dit omdat de certificaten die wij gebruiken uitgegeven zijn door de certificaten organisatie Comodo die volledig vertrouwd is; de partij die in het nieuws is betreft het Nederlandse Diginotar. 

Dit jaar medio maart is Comodo overigens wel zijdelings in het nieuws geweest door een hacker-inbraak bij een certificaat-partner van Comodo, maar bij Comodo is het zgn. ROOT CA certificaat nimmer in gevaar geweest, hetgeen in de huidige controverse rond Diginotar nog wel het geval is.

Hoe zit dat nu met SSL? Er zijn een aantal stappen die doorlopen worden op het moment dat een beveiligde verbinding tot stand wordt gebracht: 
1. Client en Server spreken de sterkst mogelijke encryptie methode af
2. Server stuurt zijn certificaat en publieke sleutel
3. Client checkt het server certificaat met het bijbehorende ROOT CA (Certificate Authorithy) Certificaat
4. Client versleutelt een willekeurig nummer met de publieke sleutel en stuurt deze naar de server.
5. De server opent het willekeurige nummer middels een private sleutel.

Op dit moment  weten zowel de client als de server hetzelfde willekeurige nummer, op basis waarvan dan encryptie sleutels gegenereerd worden op de client en server waarmee deze onderling kunnen communiceren.

Omdat een derde partij in een normale situatie nooit de private sleutel heeft is het onmogelijk om een verbinding te onderscheppen.

Het probleem bij de inbraken van de afgelopen tijd (bij Diginotar) is dat het ROOT CA Certificaat dat het server certificaat ondertekent niet meer te vertrouwen is.  Hierdoor zou een derde partij zich kunnen voordoen als de server voor de client en als client voor de server. In deze situatie decodeert de derde partij zowel de informatie die de client verstuurt als die van de server. Hierdoor is het mogelijk om informatie in de tussenfase af te luisteren. Naar verluidt heeft de Iraanse geheime dienst hier gebruik van gemaakt.

Bij de certificaten die door de partner van Digital Dynamics uitgegeven zijn (Comodo), is het vertrouwen in de ROOT CA nimmer geschaad en zijn er dus geen verdere acties noodzakelijk.

Microsoft heeft Diginotar certificaten in een update voor haar systemen nu als onveilig bestempeld waardoor de werking ervan automatisch aan banden wordt gelegd (c.q. wordt gemeld aan de gebruiker met een waarschuwing), maar voor Nederland is deze update nog enkele dagen later van kracht gemaakt.

Wij houden het nieuws uiteraard nauwlettend in de gaten en indien er gevaar voor onze klanten ontstaat zullen wij U hier over informeren.

 

Voor meer informatie over de “Comodo hack” zie: http://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html (Engels)

Voor meer informatie over certificaten en SSL zie: http://nl.wikipedia.org/wiki/Secure_Sockets_Layer

 

Terug naar overzicht