- Door
- Arnout Veenman
- geplaatst op
- 7 augustus 2009 08:01 uur
Vorige week werden er tijdens een Black Hat conferentie een ernstig lek onthult. Door dit lek kan een aanvaller door een SSL-certificaat te bemachtigen voor een domeinnaam met een karakter dat er niet in hoort (null-string) elke browser laten geloven dat het met een willekeurige andere website te maken te heeft.
SSL Certificate Authority VeriSign heeft in een reactie op de onthulling van het lek laten weten dat geen enkel van de door haar uitgegeven SSL-certificaten null-strings bevatten, waardoor SSL-certificaten van VeriSign niet kunnen worden misbruikt voor dit type aanval. Het zelfde geldt voor SSL-certificaten van VeriSign dochtersGeoTrust, thawte en RapidSSL.
Volgens VeriSign product marketing vice president Tim Callan, is tot dat alle browser-fabrikanten het lek gedicht hebben, de enige oplossing om gebruik te maken van EV-SSL certificaten (van VeriSign). De uitgifite van EV-SSL certificaten is aan strenge eisen gebonden. Zodoende is de kans dat de domeinnaam in een EV-SSL certificaat een null-string bevat nihil.
Mozilla heeft patches uitgebracht voor Firefox die het lek dichten.