Managed hosting door True

VeriSign dicht SSL-lek

 

De kwetsbaarheid in digitale certificaten (ssl-certificaten) is door VeriSign opgelost. Certificaten die worden uitgegeven door het internetconcern kunnen niet meer worden misbruikt. Ook heeft Firefox een plugin uitgegeven. Deze tool controleert of het MD5-algoritme in digitale certificaten wordt gebruikt.

VeriSign heeft de kwetsbaarheid in SSL-certificaten opgelost. De digitale certificaten die internetsites moeten beveiligd, kunnen nu niet langer door kwaadwillenden worden misbruikt. Daarnaast is er een plugin voor Firefox gelanceerd. De tool controleert onder meer op de zwakke plek, het MD5-algoritme.

Een team van Nederlandse, Zwitserse en Amerikaanse onderzoekers bracht de kwetsbaarheid in de SSL-certificaten naar buiten. De groep ontdekte dat een van de standaard cryptografische algoritmes, die gebruikt worden om digitale certificaten te checken, vatbaar is voor misbruik. Het gaat om het MD5-algoritme.

Als iemand een website bezoekt waarvan de url met https begint, dan verschijnt er een klein hangslot in de statusbalk van de browser. Dit betekent dat de website beveiligd is met een certificaat. De gebruiker mag er dan vanuit gaan dat hij zich op een veilige website bevindt. Nu de mogelijkheid tot misbruik is blootgelegd is het mogelijk een phishing-site te maken die er uit ziet als een goed beveiligde site.

Firefox-plugin

De Firefox-plugin, geschreven door Márton Anka, moet tegen misbruik van de SSL-certificaten beschermen. Op de site is te lezen dat er, ondanks het grote aantal Certificate Authorities (CA's=s), toch enkelen zullen zijn die MD5 zullen blijven gebruiken.

SSL-certificaten worden uitgegeven door CA's. MD5 heeft al eerder te kampen gehad met zwakke plekken. Anka verwacht dat er in de nabije toekomst meer aanvallen op MD5 zullen komen.

VeriSign heeft de onveiligheid verwijderd en zegt toe eind deze maand MD5 te hebben uitgefaseerd. Het bedrijf benadrukt het te waarderen dat de groep onderzoekers de online veiligheid onder de loep hebben genomen. Hierdoor kunnen blootgelegde onveiligheden aangepakt worden.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/2824226). © Jaarbeurs IT Media.

?


Lees meer over



Lees ook


 
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×