Overheid en SIDN verlengen akkoord over waarborging .nl-domein

Door Erik van Straten: Doordat DV (Domain Validated) https servercertificaten algemeen geaccepteerd zijn, en webbrowsers geen verschil laten zien met betrouwbaarder certificaten, is DNS een server-authenticatie-SPOF (Single Point Of Failure) geworden.

Zodra het aanvallers lukt om het IP-adres (of adressen) achter verzinhetmaar.nl in DNS naar hun eigen server te laten wijzen, hebben ze in een oogwenk een door elke browser geaccepteerd certificaat op hun server (je moet er niet aan denken dat ze een heel TLD zoals .nl kunnen overnemen).

Deze SPOF leidt er ook toe dat, bijvoorbeeld in minder democratische gebieden, misbruik gemaakt kan worden van DNS: als in zo’n gebied zowel een DV-cerificaatuitgever als eindgebruikers via DNS een aangepast IP-adres ontvangen voor bijvoorbeeld wikipedia.org, kunnen eindgebruikers die https://wikipedia.org/ openen (en een slotje zien) er niet meer van op aan dat het om de echte wikipedia.org gaat.

En als dan het om een site gaat waar je op inlogt, helpt zelfs WebAuthn (FIDO2 hardware key of PassKey) je niet om zo’n frauduleuze site te detecteren (de eigenaar van die fake site kan dan als jou inloggen op de echte site, en desgewenst jouw communicatie met de echte site doorzetten en meelezen, en naar wens wijzigen).

Met de toenemende afhankelijkheid van internet, “quick wins” (cryptovaluta), meer MFA en stijgende wereldwijde spanningen, neemt de kans op aanvallen op DNS toe. Ik hoop dat men beseft dat DNS een SPOF is voor server-authenticatie en men zich serieus gaat afvragen of dat niet moet veranderen (temeer omdat ook BGP-hijacks een risico vormen voor onterechte certificaatuitgifte – iets dat in de praktijk is aangetoond, zie https://arstechnica.com/information-technology/2022/09/how-3-hours-of-inaction-from-amazon-cost-cryptocurrency-holders-235000/).

Tja DNS is al sinds conceptie in 1984 lek als mandje dat was toen ook al bekend tijdens Arpanet uitwerking gesprekken allen was de scope toen ook compleet anders.

DNSSEC en combi van transferlocks kan tot zekere mate helpen maar helaas zijn de protocollen gewoon niet opgewassen tegen de manier dat we er tegenwoordig mee omgaan en misbruik meegemaakt wordt. We zijn enkel maar druk met ducttape oplossingen verzinnen in de vorm van weer een extra protocol wat jaar later gaten bevat of juist als opendeur functioneert voor de volgende ellende.

En omtrent Domain validation TLS, Organization Validation TLS (OV) en Extended Validation EV TLS certificaten zijn net zo nutteloos als het om betrouwbaarheid gaat helaas. Het was wel een leuk verdien model waar menig ISP, hostingprovider aan verdient heeft (incl. wij) maar dat slotje en vroeger de bedrijfsnaam in de url zegt natuurlijk niks zonder dat iemand dieper in de certificaat samenstelling gaat zitten pluizen en ook exact weet wat er naar voren moet komen.

De verificatie was ook altijd bagger. KVK uitreksel en een nummer. Maar tig keer gehad dat een klant vergeten was zijn KVK uitreksel te updaten door de jaren inclusief contact adres waarna je belde naar je CA en doodleuk de verificatie doorgezet werdt met nieuwe gegevens die niet geverifieerd konden worden. En dan spreek ik over de grote namen Comodo/Sectigo, Digicert, Symantec etc alle procedures zo lek als maar kan. Dus DV is helaas net zo veilig.

Maar ik heb helaas geen oplossing hiervoor en tot nu toe niemand niet lijkt het. Het is waarschijnlijk wachten op de vervanger van het algehele internet als die er in ons leven uberhaubt nog komt. Ik denk eerder dat we nog lekker komende 50 jaar doormodderen en collateral damage voor lief wordt genomen tenzij we echt een keer een digitale apocalypse gaan meemaken. Met Mirai paar jaar terug en de befaamde DYN attack in 2016 was die angst er even toen paar root servers eruit vlogen in Amerika maar daar is men ook al wel weer van de schik van bekomen lijkt het want als het om crisis management gaat is er niet veel veranderd.

Bron: Security.nl

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

12Privacy.nl