Onderzoeker Hanno Bock is erin geslaagd om Symantec een geldig ssl-certificaat via een vervalste privésleutel in te laten trekken. Bij ssl-certificaten wordt er met een privé en publieke sleutel gewerkt. Als de privésleutel gecompromitteerd raakt is de uitgever van het ssl-certificaat verplicht om het in te trekken.
Een aanvaller kan de gecompromitteerde privésleutel namelijk gebruiken om internetgebruikers mee aan te vallen. Bock wilde kijken of certificaatautoriteiten die ssl-certificaten uitgeven gerapporteerde gecompromitteerde privésleutels wel goed controleren. Anders zou een aanvaller een vervalste privésleutel van een willekeurige website kunnen melden, waarna het certificaat van die website wordt ingetrokken.
Voor zijn test vroeg Bock voor zijn eigen websites ssl-certificaten aan bij Comodo en Symantec. Vervolgens genereerde hij vervalste privésleutels en plaatste die op Pastebin. Op Pastebin vond de onderzoeker ook verschillende echte gecompromitteerde privésleutels. Zowel deze echte als de vervalste privésleutels rapporteerde hij aan Comodo en Symantec. Comodo liet weten dat er iets mis met de vervalste sleutel was, maar Symantec trok alle certificaten in, ook diegene die bij de vervalste privésleutel zou horen.
Volgens Bock heeft Symantec een grote blunder begaan door een legitiem ssl-certificaat op basis van vervalst bewijs in te trekken. "Er is geen excuus voor en het laat zien dat ze een certificaatautoriteit zijn zonder cryptografische kennis", aldus de onderzoeker. Symantec laat in een reactie weten dat er een fout in de procedure zat en dat die inmiddels is verholpen. Het bedrijf zegt dat er op de test van de onderzoeker na geen misbruik van de fout is gemaakt. Eerder ontdekte ook Googleverschillende problemen met ssl-certificaten door Symantec zijn uitgegeven.
Bron: Security.nl