Hét informatieplatform over cloudoplossing en -bedrijven

Contact

Let’s Encrypt schakelt specifieke domeinvalidatie uit wegens lek

Let’s Encrypt schakelt specifieke domeinvalidatie uit wegens lek
10 January 2018 13:58 uur

Certificaatautoriteit Let’s Encrypt heeft vanwege een beveiligingslek een onderdeel uitgeschakeld waarmee het controleert of de aanvrager van een tls-certificaat ook de eigenaar van het bijbehorende domein is. Via de kwetsbaarheid had een aanvaller certificaten kunnen aanvragen voor domeinen die niet van hem waren.

Tls-certificaten worden gebruikt voor het opzetten van een versleutelde verbinding tussen websites en bezoekers. Let’s Encrypt, dat gratis tls-certificaten uitgeeft, beschikt over verschillende methodes om te controleren of de aanvrager van een certificaat ook de eigenaar van het bijbehorende domein is. Eén van die methodes is de “ACME TLS-SNI-01” validatie, waarbij er communicatie tussen de server van het opgegeven domein en de server van Let’s Encrypt plaatsvindt. Op deze manier valideert Let’s Encrypt dat het om een legitieme aanvraag gaat.

Er bevindt zich echter een probleem in de validatiemethode waardoor mensen certificaten konden krijgen die ze niet hadden moeten krijgen, zegt Josh Aas, directeur van de InternetEen zeer groot openbaar netwerk van samenwerkende computers, vaak verward met het World Wide Web (www) Security Research Group (ISRG). Dergelijke certificaten zouden mogelijk voor man-in-the-middle-aanvallen of phishingsites kunnen worden gebruikt. Let’s Encrypt is een initiatief van de ISRG en wordt gesteund door Mozilla, Akamai, Cisco, de Amerikaanse burgerrechtenbeweging EFF en andere partijen. Bron: security.nl 10-1-18 Lees verder>>>>

  • Nederland ICT
  • ISPConnect