Ga naar inhoud

Let's Encrypt gaat binnenkort ook Certificate Revocation Lists ondersteunen


Aanbevolen berichten

Certificaatautoriteit Let's Encrypt gaat binnenkort ook Certificate Revocation Lists ondersteunen die informatie over ingetrokken certificaten bevatten. Dit moet voorkomen dat internetgebruikers via ingetrokken certificaten kunnen worden aangevallen. Dat heeft Let's Encrypt aangekondigd. Tls-certificaten zorgen voor een versleutelde verbinding tussen website en bezoekers en maken het mogelijk om websites te identificeren.

Vertrouwen in deze certificaten is dan ook belangrijk. Wanneer een certificaat niet meer is te vertrouwen, bijvoorbeeld door een incident zoals bij DigiNotar, kan het tls-certificaat worden ingetrokken. Deze informatie moet vervolgens aan de browser worden gecommuniceerd. Hiervoor zijn Certificate Revocation Lists (CRLs) en het Online Certificate Status Protocol (OCSP) bedacht.

CRLs zijn eigenlijk gewoon lijsten met alle ingetrokken certificaten van een bepaalde certificaatautoriteit. Dergelijke lijsten zijn dan ook vaak zeer groot en daardoor inefficiënt om te downloaden als de browser één specifiek certificaat van een bezochte website wil controleren. Als alternatief werd OCSP ontwikkeld. Hierbij wordt alleen het certificaat van de bezochte website gecontroleerd..

De browser moet hiervoor wel verbinding met een OCSP-server kunnen maken. Wanneer de browser geen antwoord ontvangt zal die in veel gevallen het certificaat in kwestie gewoon accepteren. Aanvallers kunnen hier misbruik van maken door al het verkeer naar de OCSP-server te blokkeren. Doordat de browser voor elke bezochte website een OCSP-request verstuurt kan een malafide of gedwongen certificaatautoriteit daarnaast bijhouden welke websites iemand bezoekt.

Volgens Let's Encrypt zijn beide oplossingen dan ook niet ideaal. CRLs zijn inefficiënt en OCSP is onbetrouwbaar. Een mogelijk beter alternatief zijn browserspecifieke CRLs. In plaats van elke browser bij gebruikers grote CRLs te laten downloaden, downloadt de browserleverancier die centraal. Vervolgens wordt de CRL in een kleiner formaat opgedeeld en daarna onder gebruikers als update verstuurd. Firefox noemt dit CRLite en verstuurt elke zes uur updates met ingetrokken certificaten.

Hierdoor zijn de grootste problemen met de traditionele CRLs opgelost. Downloads zijn snel, hebben geen impact bij het bezoeken van websites en de controle van ingetrokken certificaten vindt lokaal plaats. Apple en Mozilla eisen vanaf 1 oktober dat alle certificaatautoriteiten CRLs gaan uitgeven waar Safari en Firefox gebruik van kunnen maken voor de certificaatcontrole.

Bij de start van Let's Encrypt besloot de certificaatautoriteit om alleen OCSP te ondersteunen en geen CRLs uit te geven. Destijds eisten browserleveranciers ook alleen OCSP. Vanwege de nieuwe vereisten is Let's Encrypt hierop teruggekomen en gaat nu ook CRLs aanbieden.

 

bron: https://www.security.nl

Link naar reactie
Delen op andere sites

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.