Het maken van beveiligingscertificaten voor domeinen, volgens best practice-normen, doet u het beste wanneer u de website zelf beheert. Anders schendt u tijdens het proces gewoon de SSL voor dat domein.
Dit is wat er gebeurde toen MCS Holdings, een tussenliggende certificeringsinstantie, certificaten uitgaf voor verschillende Google-domeinen. De zoekgigant vond beveiligingslekken in de SSL omdat de intermediaire instantie de domeinen in kwestie niet beheert.
Een computer ontvangt een Google-servercertificaat wanneer contact wordt gemaakt met de server. Dit certificaat werkt als een codering van de gegevens die in de communicatie worden verzonden. Pas wanneer de Google-server de sleutel valideert, wordt het contact van uw pc met de server van het bedrijf veilig. Anders is de verbinding kwetsbaar voor een man-in-the-middle-aanval. Dit gebeurt wanneer een derde partij een certificaat ondertekent voor het domein dat het niet beheert, zoals het geval is bij MCS Holdings die certificaten uitgeeft voor Google-domeinen.
De rol van een intermediaire CA in dit proces is riskant, omdat hij vatbaar is voor tussenkomst van buitenaf. Wat er gebeurde met de SSL waarvan Google ontdekte dat deze gebrekkig was, was dat een tussenliggende certificeringsinstantie zich voordeed als een legitieme uitgevende autoriteit, wat inhield dat deze de volledige bevoegdheid had om een certificaat uit te geven. In dit geval is het China Internet Network Information Center de echte uitgevende autoriteit en was MCS Holding nep. Google betreurde hoe MCS Holding die autoriteit kreeg om mee te beginnen.
Een deel van het probleem waarom MCS Holding dat niveau van autoriteit kreeg, is de misvatting dat een CA altijd de gewoonte heeft om legitieme certificaten toe te kennen, zonder compromissen. U hoeft alleen te onthouden dat VeriSign, een populaire certificeringsinstantie, in het verleden is gehackt door te geloven dat niet alle certificeringsinstanties altijd goede certificaten afgeven. Dat zal niet het geval zijn wanneer uw systeem is gecompromitteerd.
Dus hoe gaat Google ermee om? Het bedrijf heeft het Certificate Transparency Project gelanceerd, dat tot doel heeft het voor certificeringsinstanties moeilijk te maken om SSL-certificaten uit te geven die onzichtbaar zijn voor de exploitant of eigenaar van het domein. Google wil ook dat het project domeineigenaren of certificaatautoriteiten helpt bij het onderzoeken van certificaten via een open audit- en monitoringsysteem en om te voorkomen dat derden gebruikers misleiden met valse certificaten.
In het kader van het initiatief zouden openbare servers certificaatlogboeken controleren om te controleren op schadelijke certificaten. Vervolgens beveiligt een cryptografisch monitoringprogramma de logs en monitors om de juiste registratie van certificaten te verifiëren.
