VeriSign dicht SSL-lek

De kwetsbaarheid in digitale certificaten (ssl-certificaten) is door VeriSign opgelost. Certificaten die worden uitgegeven door het internetconcern kunnen niet meer worden misbruikt. Ook heeft Firefox een plugin uitgegeven. Deze tool controleert of het MD5-algoritme in digitale certificaten wordt gebruikt.

VeriSign heeft de kwetsbaarheid in SSL-certificaten opgelost. De digitale certificaten die internetsites moeten beveiligd, kunnen nu niet langer door kwaadwillenden worden misbruikt. Daarnaast is er een plugin voor Firefox gelanceerd. De tool controleert onder meer op de zwakke plek, het MD5-algoritme.

Een team van Nederlandse, Zwitserse en Amerikaanse onderzoekers bracht de kwetsbaarheid in de SSL-certificaten naar buiten. De groep ontdekte dat een van de standaard cryptografische algoritmes, die gebruikt worden om digitale certificaten te checken, vatbaar is voor misbruik. Het gaat om het MD5-algoritme.

Als iemand een website bezoekt waarvan de url met https begint, dan verschijnt er een klein hangslot in de statusbalk van de browser. Dit betekent dat de website beveiligd is met een certificaat. De gebruiker mag er dan vanuit gaan dat hij zich op een veilige website bevindt. Nu de mogelijkheid tot misbruik is blootgelegd is het mogelijk een phishing-site te maken die er uit ziet als een goed beveiligde site.

Firefox-plugin

De Firefox-plugin, geschreven door Márton Anka, moet tegen misbruik van de SSL-certificaten beschermen. Op de site is te lezen dat er, ondanks het grote aantal Certificate Authorities (CA's=s), toch enkelen zullen zijn die MD5 zullen blijven gebruiken.

SSL-certificaten worden uitgegeven door CA's. MD5 heeft al eerder te kampen gehad met zwakke plekken. Anka verwacht dat er in de nabije toekomst meer aanvallen op MD5 zullen komen.

VeriSign heeft de onveiligheid verwijderd en zegt toe eind deze maand MD5 te hebben uitgefaseerd. Het bedrijf benadrukt het te waarderen dat de groep onderzoekers de online veiligheid onder de loep hebben genomen. Hierdoor kunnen blootgelegde onveiligheden aangepakt worden.

	Aantal reacties met 3+ sterren		Gemiddelde waardering
1	PaVaKe	154	6.4
2	Reza Sarshar	120	6.7
3	Henri Koppen	109	6.4
4	edekkinga	79	6.6
5	Jaap-G	53	6.1
6	Guido Groeneweg	49	6.3
7	Ruud Mulder	47	6.5
8	mauwerd	43	6.1
9	Frank Brechts	43	6.0
10	Rob Koelmans	40	6.3

Nieuws / Security

VeriSign dicht SSL-lek

Firefox-plugin

10-02 Infor helpt Ferrari met bouwen F1-auto's

10-02 Tester Four Oaks in Israëlische handen

10-02 IS Online en Tres zijn klaar voor Elfstedentocht

10-02 SecureLink migreert Microsoft-diensten Atradius

10-02 Nieuwe software brengt Vitens in problemen

10-02 Ex-Misys-topman moet CSC uit penarie helpen

10-02 Veenman en 20/20 vision adviseren samen klant

10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst

10-02 Misys en Temenos willen fuseren

10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan

10-02 SecureLink migreert Microsoft-diensten Atradius

09-02 Vodafone: Wij spelen klantinformatie niet door

09-02 Lang leve de hackers!

09-02 'Ook met cookiewet is gebruiker niet anoniem'

09-02 'KPN koppelt ID aan internetverkeer'

08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'

07-02 Eigen werknemer kan ook een vijand zijn

03-02 'Overheid vreest voor veiligheid in de cloud'

01-02 F5 beschermt openbare websites

31-01 Publieksvoorlichting is belangrijke taak voor NCSC

21-05-10 Symantec neemt deel Verisign over

17-06-09 Google overweegt SSL voor Gmail

01-01-09 Microsoft: Lek in SSL is geen groot gevaar

31-12-08 Internetbankieren niet meer veilig door SSL-lek

Best Practices om laptop-data te beschermen