‘Meeste SSL-certificaatfouten gevolg van softwarefouten’

Certificate Authorities (CA’s) maken nogal eens fouten met SSL-certificaten. De meeste van die fouten – 42 procent – zijn het gevolg van softwarefouten en verkeerde interpretaties van industriestandaarden. Dat blijkt uit onderzoek van de School of Informatics and Computing van de Indiana University Bloomington.

Het onderzoeksteam wilde weten hoe de CA’s zich aan industriële standaarden hielden en wat de meest voorkomende oorzaak is achter verkeerd uitgegeven SSL-certificaten. CA’s verkopen SSL-certificaten of bieden deze gratis aan. De certificaten worden gebruikt om de communicatie tussen apparaten en servers te versleutelen via HTTPS-verbindingen. 

Hoe de certificaten precies uitgegeven moeten worden, is vastgelegd in richtlijnen voor de industrie die het CA/B Forum uitgeeft en updatet. Het CA/B Forum is een branchegroep die bestaat uit makers van browsers en besturingssystemen, en uit CA’s. 

379 onderzochte incidenten

De CA’s zijn echter alles behalve perfect en hebben de afgelopen jaren dan ook fouten gemaakt. Dat betekent dat ze certificaten leverden die niet voldeden aan de regels van het CA/B Forum. Zo waren er SSL-certificaten die misbruikt konden worden om HTTPS-verkeer te onderscheppen of om malware-operaties uit te voeren, schrijft ZDNet

De onderzoekers wilden weten hoe het kan dat de certificaten onjuist werden uitgegeven. Om dat te achterhalen, onderzochten ze 379 incidenten waarbij SSL-certificaten verkeerd werden uitgegeven, schrijft ZDNet. Die data kregen ze via openbare bronnen als de Bugzilla tracker van Mozilla en discussiefora voor de security-teams van de Firefox- en Chrome-browsers. 

24 procent van die incidenten werd veroorzaakt door softwarefouten in het softwareplatform van één van de CA’s. Dat zorgde ervoor dat klanten SSL-certificaten kregen die niet voldeden aan de richtlijnen. Daarnaast werden de regels in 18 procent van de gevallen verkeerd geïnterpreteerd, of waren de CA’s niet op de hoogte van gewijzigde regels. 

Andere oorzaken

Natuurlijk zijn er ook andere oorzaken voor het verkeerd uitgeven van SSL-certificaten. In 14 procent van de geanalyseerde incidenten vonden CA’s het maken van winst belangrijker dan het voldoen aan de regels. 

Op de vierde plaats staan menselijke fouten, met 10 procent van de geanalyseerde incidenten. In 8 procent van de gevallen waren operationele fouten de oorzaak achter de verkeerd uitgegeven SSL-certificaten. Daarbij zat de fout dus in de interne procedures van de CA.