Hacker Italiaanse partner Comodo geeft frauduleuze certificaten uit

24 maart 2011

Op 23 maart 2011 heeft Comodo bekend gemaakt dat GlobalTrust (onder andere bekend als Comodo Italy), een Italiaanse partner van Comodo, slachtoffer is geworden van een hacker afkomstig uit Iran. Door de RA functie die deze partner vervulde was de hacker in staat om certificaten voor verschillende websites van Skype, Microsoft, Yahoo en Mozilla te verkrijgen. Deze certificaten zouden misbruikt kunnen worden bij een zogenaamde man-in-the-middle attack, waarbij de communicatie kan worden afgeluisterd door de hacker.

Bij de hack werden de volgende certificaten aangemaakt:

• www.google.com
• mail.google.com
• login.yahoo.com (driemaal)
• login.skype.com
• addons.mozilla.org
• login.live.com
• global trustee

Comodo heeft aangegeven de certificaten binnen enkele uren na het uitgeven te hebben ingetrokken en het account van de partner te hebben gedeactiveerd. Comodo heeft vervolgens contact gezocht met de ontwikelaars van grote browsers en de eigenaren van de domeinen waarvoor de certificaten waren afgegeven. De browsers hebben waar noodzakelijk updates uitgebracht om de aangevraagde certificaten niet meer als vertrouwd in de browser te laten zien.

Comodo heeft twee berichten over deze hack naar buiten gebracht:

http://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html
http://blogs.comodo.com/it-security/data-security/the-recent-ra-compromise/

Google en Mozilla hebben beide aangegeven het zeer uitzonderlijk te vinden dat een Certificate Authority een dergelijk incident publiekelijk erkent, gezien de risico's op imagoschade.

Gevolgen

De genoemde hack heeft geen gevolgen voor de andere certificaten van Comodo, deze blijven zonder problemen functioneren. Comodo heeft na het incident extra veiligheidsmaatregelen genomen en onder andere alle rechten van RA's ingetrokken en voert de validatie van de certificaten geheel zelf uit.

De hack toont volgens Xolphin ook het belang van de zogenaamde EV certificaten aan, de certificaten met uitgebreide validatie. Voor EV certificaten zijn strenge richtlijnen opgesteld waar alle CA's zich aan dienen te houden. Een van de regels bij het uitgeven van EV certificaten is dat er minimaal twee hiervoor bevoegde mensen akkoord moeten gaan met de uitgifte van het certificaat, waardoor misbruik veel lastiger is.

Indien gewenst kunnen klanten van Xolphin hun Comodo certificaten voor een enkel domein gratis omruilen naar een EV certificaat van Comodo.

Veiligheid browsers

Na het bekend worden van de hack en de noodzakelijkheid om browser updates uit te brengen is er een discussie op gang gekomen over de ineffectiviteit van het intrekken van de certificaten. In bepaalde gevallen is het mogelijk dat browsers certificaten als vertrouwd blijven zien als de OCSP server niet bereikbaar is, waardoor de browser niet weet dat de certificaten zijn ingetrokken. Xolphin adviseert iedereen om de controle op geldigheid via OCSP in te schakelen.