‘Sites weerloos bij SSL-hack’

9 september 2011

“Als het zoals in dit geval niet jouw systemen zijn die worden aangevallen, dan kun je niets doen. Ook al hebben die systemen toegang tot jouw website”, stelt Rik Ferguson, beveiligingsexpert bij Trend Micro. “Als jij als IT-manager SSL-certificaten aanschaft bij een uitgever daarvan, dan kun je daarvan in het huidige systeem helemaal niets eisen.” Volgens Ferguson moeten er wettelijke regels komen voor standaardisatie in deze industrie. “Net als bij de creditcardindustrie.”

Webwinkels willen maatregelen

Voor webwinkels is het van groot belang dat hun klanten erop kunnen vertrouwen dat transacties betrouwbaar en veilig worden uitgevoerd. Als het SSL-certificatiesysteem hapert, is die veiligheid niet meer gegarandeerd. Wijnand Jongen, directeur van Thuiswinkel.org, de brancheorganisatie van webwinkeliers in Nederland: “Wij zien het gevaar. Al onze leden zijn verplicht persoonsgegevens volgens de laatste normen en eisen van het CBP (College bescherming persoonsgegevens) te beveiligen. Maar als dit soort aanvallen – waar ook de overheid zich niet afdoende tegen kan verdedigen – op ons wordt gedaan, wordt het voor webwinkels een nog moeilijker verhaal. Dat geeft wel duidelijk de kwetsbaarheid van het systeem aan.”

Ook Jongen wijst erop dat aan de CA’s (certificatie-autoriteiten) maar weinig eisen worden gesteld. Hij roept de overheid op de uitgevers van SSL-certificaten voortaan te controleren. Hij denkt daarbij aan het College bescherming persoonsgegeven “of een andere toetsende instantie”, die de betrouwbaarheid en werkwijze van de CA’s controleert.

ING werkt weliswaar met certificaten voor de beveiliging van zijn dienst internetbankieren, maar niet die van DigiNotar. Een woordvoerder van ING benadrukt dat de 4,5 miljoen klanten van de bank veilig elektronisch kunnen bankieren. Naar alternatieven kijkt de bank daarom nu niet om. “We hebben natuurlijk wel even een extra controle uitgevoerd. Er staat ook permanent een team experts klaar om in te grijpen als dat nodig is.”

De hack van DigiNotar heeft vooral duidelijk gemaakt dat het huidige systeem geen veiligheid waarborgt. Alternatieve technologieën voor de SSL-certificaten zijn er mondjesmaat, maar staan nog in de kinderschoenen.

Hans van de Looy, partner bij beveiliger Madison Gurkha, ziet veel in Convergence, een plug-in in Firefox, waar nu een bèta van beschikbaar is. In plaats van een centrale bron als CA werkt dit systeem met een netwerk van ‘notaries’, oftewel caches met uitgegeven certificaten. Dat gedistribueerde model zorgt ervoor dat certificaten via verschillende paden gecontroleerd kunnen worden. Bij een notary vraagt een gebruiker om het certificaat dat bij een server hoort waarmee hij contact wil maken en laat dat bevestigen door een of meer andere ‘notaries’. Komen steeds dezelfde certificaten terug die ook nog eens dezelfde zijn als die de server hem aanbiedt, dan kan de verbinding daadwerkelijk worden gelegd. “In dit nieuwe model leg je het vertrouwen neer bij de gebruikers. Zij beslissen of iets betrouwbaar is en niet een centrale organisatie als een CA. Daarmee is het probleem ook verdwenen dat je bij een hack of andere problemen met een CA heel veel sites opnieuw moet certificeren.” Een rol voor de overheid ziet Van de Looy niet weggelegd. Van de Looy: “Vertrouwen kun je niet centraliseren. Dat moet je bij de industrie zelf neerleggen.”

Michiel Leenaars van NLnet is een groot voorstander van DNSSEC in combinatie met DANE, dat wordt ontwikkeld door de Internet Engineering Taskforce. DANE staat voor DNS-based Authentication of Named Entities. Kort gezegd is het een combinatie van het DNSSEC, waarbij een extra regel wordt meegestuurd met informatie over het certificaat. Dat is informatie van domeinbeheerders over de SSL-certificaten die hun hosts uitgeven. Via DNS DANE kan worden aangegeven welke certificaten geldig zijn. Ook kan zo gecontroleerd worden welke CA’s certificaten voor die hosts mogen tekenen. “Je schakelt daarbij de CA deels uit. Aan de hand van die extra regel kun je zien of het een geldig certificaat is en dat je met de juiste computer contact hebt. Daarvoor hoef je geen contact meer te leggen met de CA. Wat wel blijft is dat de CA de zekerheid geeft dat de website die je wilt bezoeken ook werkelijk die site is en dat het bedrijf erachter ook echt is wat het zegt te zijn. Het is een zekerheidslaag boven op het bestaande systeem.” De nieuwste bèta van Google Chrome werkt er al mee.

Zorgvuldige leveranciersselectie

Ferguson van Trend Micro ziet nog geen alternatieven. Hij heeft wel een praktische tip. “Het enige wat een IT-afdeling kan doen, is heel zorgvuldig te werk gaan bij de keuze van een certificatenleverancier. Kijk naar hun tracklist. Zijn ze al eens gehackt, kijk dan goed naar de maatregelen die ze vervolgens getroffen hebben. Een goede due diligence is van groot belang.”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!