Software fouten en verkeerde interpretaties van zijn branche geldende normen worden in het hart van de meeste gevallen van onjuist uitgegeven SSL-certificaten — boekhouding voor 42% van alle incidenten –, een recente studie ontdekt heeft.
Het onderzoek, geschreven door een team van de School of Informatics and Computing aan de Indiana University Bloomington, keek 379 exemplaren van misissued SSL-certificaten — uit een totaal van meer dan 1300 bekend incidenten.
Wetenschappers verzamelden incident gegevens uit publieke bronnen, zoals Mozilla ‘ s Bugzilla tracker en Google Groups discussiefora voor de Firefox-en Chrome-browser security teams.
Het doel van dit onderzoek was om te kijken hoe het Certificate authorities (CAs) aangehangen normen van de branche, en wat is de meest voorkomende oorzaak achter misissued SSL-certificaten.
CAs zijn organisaties die verkoopt of verstrekt gratis SSL certificaten. Deze SSL-certificaten worden vervolgens gebruikt voor het versleutelen van de communicatie tussen clients en servers in de vorm van HTTPS-verbindingen.
CA activiteit wordt beheerst door het CA/B Forum, een industriële groep van browser-en OS-makers, en de CAs zelf.
Het CA/B Forum publiceert en updates industrie richtlijnen die bepalend zijn voor de juiste manier om het probleem van SSL-certificaten.
Door de jaren heen, CAs heeft al meerdere misstappen waar ze uitgegeven certificaten zonder vast te houden aan deze regels. Er zijn gevallen waar de CAs heeft uitgegeven SSL-certificaten die zijn gebruikt voor het uitvoeren van man-in-the-middle (MitM) aanvallen en het onderscheppen van HTTPS-verkeer; zijn gebruikt voor malware-activiteiten; of CAs uitgegeven certificaten zonder standaard procedures — gevolg van menselijke fouten, ongevallen, of om kosten te besparen en de winst te verhogen.
CAs heeft ook waargenomen terugwerkende kracht SSL-certificaten om te voorkomen dat veroudering termijnen; de uitgifte van SSL-certificaten zonder te verifiëren dat de koper een legitieme persoon/bedrijf; of uitgegeven SSL-certificaten die gebruikt zwak of niet-compatibele algoritmes.
Afbeelding: Serrano et al.
Maar volgens het team aan de Indiana University Bloomington, de meeste van de gevallen van onjuist uitgegeven SSL-certificaten zijn veroorzaakt door software bugs.
Van de 379 gevallen geanalyseerd, 91 (24%) is veroorzaakt door software-bugs in een van de CA ‘ s software platform, waardoor klanten ontvangen niet-conforme SSL-certificaten.
De tweede meest voorkomende oorzaak was het CAs het verkeerd uitleggen van het CA/B Forum regels, of het CAs zijn zich niet bewust dat er een regel was veranderd. Dit was goed voor 69 gevallen of 18% van alle incidenten van misissued SSL-certificaten.
Het eerste geval van een kwaadaardige oorzaak voor SSL misissuance gerangschikt enige derde. Wetenschappers zei dat in 52 gevallen van misissued SSL-certificaten — of 14% van alle geanalyseerde incidenten — CAs opzettelijk put winst over de naleving en de industrie regels.
“Voorbeelden van deze terugwerkende kracht SHA-1 certificaten om te omzeilen het verbod, opladen voor de intrekking van besmette digitale certificaten, de verkoop van certificaten voor Man-in-the-Middle (MITM) pogingen, en de potentiële (of werkelijke) uitgifte van valse certificaten,” de onderzoekers gezegd. “Het spreekt voor zich dat deze categorie presenteerde de meest alarmerende incidenten met betrekking CAs’ misbehaviors of gebrek aan ethiek.”
De vierde meest voorkomende oorzaak is een menselijke fout, met 37 gevallen (10% van het totaal).
Vijfde gerangschikt operationele fouten, waar de fout werd in een CA de gebrekkige interne procedures, in plaats van de software of een menselijke fout. Dit was goed voor 29 gevallen of 8% van alle gevallen.
De zesde oorzaak was “niet-optimale aanvraag controleren”, een term die beschreven fouten gemaakt bij het controleren van de identiteit van een klant, en die staat meestal een rogue klant zich voor te doen als een andere entiteit, bijvoorbeeld een malware auteur het krijgen van een SSL certificaat voor een legitiem bedrijf. De onderzoekers vonden 24 van dergelijke incidenten, goed voor 6% van alle SSL-misissuance incidenten.
De zevende meest voorkomende oorzaak voor misissued SSL-certificaten is “onjuist security controls,” een algemene categorie die alle gevallen van CAs krijgen gehackt of de controle te verliezen van hun infrastructuur om een derde partij te verkrijgen SSL-certificaten.
Andere oorzaken voor SSL misissuance opgenomen verandering in de referentie-Eisen [BR] (als CAs bleef achter in het toepassen van een CA/B Forum regel te veranderen); infrastructurele problemen (bij het CAs was niet beschikbaar servers, defecte netwerken, of problemen in de hardware, maar ze nog een certificaat); en organisatorische beperkingen (bij het CAs geëxploiteerd onder strikte nationale/overheid regels die niet in overeenstemming waren met het CA/B Forum regels).
Op basis van de gegevens onderzoekers samengesteld, in de top van meest problematische CAs opgenomen de wil van StartCom, WoSign, DigiCert, PROCERT, Comodo (nu Sectigo), Quo Vadis, VISA, GoDaddy, Certum, Camerfirma, en SwissSign.
Afbeelding: Serrano et al.
Onderzoekers zei ook dat “de tien basiscertificeringsinstanties met de meeste incidenten in verband met ze verzamelden bijna de helft van deze incidenten,” waaruit blijkt dat er een paar rotte appels waren in het hart van de meeste van de problemen in de CA-landschap.
Zij stelden dat deze entiteiten “moet streng worden bestraft om af te schrikken, omdat we vinden dat het een algemeen probleem in het CAs.”
Dit artikel is een samenvatting van de onderzoekers van het werk. Voor een meer diepgaande blik, raadpleeg dan de research team 45-pagina white paper, getiteld “Een Volledige Studie van P. K. I. (PKI is Bekend Incidenten).”
Veiligheid
DNS-over-HTTPS veroorzaakt meer problemen dan het oplost, zeggen de experts
FBI waarschuwt voor aanvallen die bypass multi-factor authenticatie (MFA)
White-hat hackers Muhstik ransomware bende en releases decryptie sleutels
Mark Zuckerberg denkt dat hij het dus verkeerd begrepen (ZDNet YouTube)
Beste home security 2019: Professionele monitoring en DIY (CNET)
De meeste Fortune 500-bedrijven nog steeds ondoorzichtig over veiligheidsmaatregelen (TechRepublic)
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters