VeriSign heeft de lekken, die ontdekt werden door onderzoekers eerder deze week, weten te dichten. Tevens is er een plugin voor Firefox vrijgegeven die checkt op de MD5-hash.
Het team van Zwitserse, Nederlandse en Amerikaanse beveiligingsonderzoekers ontdekten eerder deze week dat het SSL-certificaat een lek bevatte. Dit lek had te maken met de MD5-hash die gegenereerd wordt om de echtheid van het certificaat te checken. De SSL-certificaten worden onder andere gebruikt bij het HTTPS-protocol, welke zorgt voor een versleutelde HTTP-verbinding. Op die manier heeft men geen kans met een zogenaamde ‘man-in-the-middel’-techniek. Een techniek waarbij de hacker de gegevens opvangt tijdens het versturen. Door de lekken kon men een HTTPS-verbinding nabootsen.
De Firefox-plugin is geschreven door Márton Anka en zal ervoor zorgen dat men niet ‘gefopt’ wordt wanneer het HTTPS-verbinding betreft. Deze plugin is er gekomen omdat men verwacht dat de aanvallen op de MD5-versleutelingen zullen blijven plaatsvinden.
De SSL-certificaten zelf worden niet zomaar uitgegeven, dit kan enkel bij zogenaamde Certificate Authorities (CA’s). MD5 is inmiddels een algoritme dat men via bruteforce probeert te breken en de verwachting is dat dit nog wel zal blijven duren.
VeriSign heeft aangegeven de lekken te willen dichten door onder andere van het MD5-algoritme af te stappen. Eind deze maand moet deze overstap rond zijn, zo verwacht het bedrijf. Het bedrijf geeft tevens aan blij te zijn dat onderzoekers hier onderzoek naar gedaan hebben, ze willen, naar eigen zeggen, ten alle tijden hun veiligheid verhogen.
5 uur geleden
