Lek gevonden in de beveiliging van EV SSL certificaten

7 augustus 2009

Twee beveiligingsexperts - Alexander Sotirov en Mike Zusman - zijn erin geslaagd om de beveiliging van EV certificaten te omzeilen. Dit was mogelijk doordat browsers geen onderscheid maken tussen beveiligingen die gebruik maken van een EV certificaat en verbindingen met een non-EV certificaat.

Door dit gebrek aan onderscheid zou een kwaadwillende partij met een eenvoudig domeinvalidatiecertificaat voor bijvoorbeeld https://www.abnamro.nl via een man-in-the-middle aanval een script op de inlogpagina kunnen injecteren, zonder dat de browser het verschil merkt.

Daarnaast doen browsers geen "SSL certificate pinning", waardoor bijvoorbeeld een EV certificaat kan worden gebruikt om in te loggen, maar een compleet ander certificaat kan worden gebruikt voor het tonen van de kaarthoudersgegevens. De browser maakt hier geen onderscheid tussen. Ook is het mogelijk om door middel van vergiftiging van de SSL cache de browser te laten denken dat het een bestand opent wat afkomstig is van een EV site, terwijl dit niet het geval is.