Veelgestelde vragen naar aanleiding van DigiNotar incident

6 september 2011

Naar aanleiding van het DigiNotar incident, waarbij een hacker geslaagd is in het uitgeven van een aantal valse certificaten, zijn de SSL certificaten momenteel volop in het nieuws. Wij krijgen hierover veel vragen waarvan we in dit nieuwsbericht de meest gestelde vragen willen beantwoorden.

Mocht u verder nog vragen hebben dan horen we deze graag. Wij beantwoorden uw vragen graag.

Volgens recente nieuwsberichten bleek DigiNotar sleutels (private keys) van klanten te bewaren. Bewaart Xolphin deze sleutels ook?

Nee, een certificaat maken wij altijd aan op basis van de CSR (Certificate Signing Request). Wij ontvangen nooit de private keys voor klanten en zullen deze voor klanten ook nooit zelf genereren. De private key is strict voor de klant bedoeld en hoort de servers of het netwerk van de klant nooit te verlaten. Een SSL certificaat welke wordt aangemaakt is de zogenaamde publieke sleutel. Deze certificaten of publieke sleutels bewaren wij wel, maar dit vormt geen enkel risico. Publieke sleutels zijn door iedere bezoeker van een website in te zien en is er voor gemaakt om publiek beschikbaar te zijn.

• Private Key - Sleutel welke nooit uw eigen netwerk dient te verlaten.
• Public Key - Het SSL Certificaat zelf welke door iedereen wordt opgevraagd.
• Certificate Signing Request (CSR) - De ongetekende Public Key, bestand waarmee een Certificaat wordt aangevraagd.

Indien de private keys van uw organisatie ooit in handen zijn gekomen van derden, dan raden wij u aan om per direct nieuwe private keys te genereren en hiervoor nieuwe certificaten aan te vragen. Het veilig zijn van de private keys is essentieel voor een beveiligde website; u dient van een CA nooit de private keys te krijgen of de CA deze private keys te sturen.

Er bleken grote hiaten te zijn in de beveiliging van DigiNotar. Heeft Xolphin haar beveiliging op orde?

Xolphin neemt haar beveiliging zeer serieus, en doet er al jaren alles aan om haar systemen optimaal te beveiligen. De certificaten worden echter nooit door ons uitgegeven, Xolphin is zelf geen CA maar is slechts intermediair. Xolphin maakt gebruik van externe leveranciers / CA's om de certificaten te genereren. Beweren dat ons systeem veilig is is natuurlijk makkelijk en we beseffen dat het voor u als klant lastig is om deze beveiliging te controleren. Om een antwoord te geven op specifieke vragen die we gesteld krijgen, en een indicatie te geven van beveiligingsmaatregelen die wij al jaren hanteren, een kort overzicht van een deel van onze maatregelen:

• Alle servers van Xolphin maken gebruik van Linux en zijn volledig up-to-date en voorzien van alle updates en patches en worden dagelijks nagelopen op onregelmatigheden.
• Alle servers zijn geplaatst in een streng beveiligd en professioneel datacentrum.
• Alle servers en werkstations zijn voorzien van een up-to-date virusscanner.
• De door onze medewerkers gebruikte backend is alleen bereikbaar door middel van een USB PKI-token met client certificaat.
• De gehele website van Xolphin, inclusief Control Panel is beveiligd met een EV SSL Certificaat.
• Alle logging wordt verstuurd en opgeslagen op een volledig afgeschermde extern geplaatste server.
• Wachtwoorden van klanten worden versleuteld opgeslagen als een zogenaamde salted SHA-256 hash, een manier van bewaren van wachtwoorden waarbij het orginele wachtwoord niet meer te achterhalen is.
• Vertrouwelijke gegevens als private keys, logingegevens en kopieën van indentiteitsbewijzen worden door ons niet opgeslagen maar onmiddellijk verwijderd.

In het rapport van Fox-IT wordt een hack bij Comodo aangehaald. Is Comodo wel veilig?

Er zijn grote verschillen tussen de hack bij DigiNotar en de problemen die Comodo eerder dit jaar had. Allereerst is Comodo zelf als CA nooit gehacked, maar werd een Italiaanse partner van Comodo gehacked. Via deze partner werden de certificaten aangevraagd bij Comodo; de fout van Comodo was dat deze de partner dermate vertrouwde dat de certificaten direct werden aangemaakt en uitgegeven.Comodo heeft vervolgens vrijwel direct geconstateerd dat er iets fout ging, wist exact welke certificaten onterecht waren uitgegeven en heeft deze vrijwel direct ingetrokken. Comodo heeft hierna op haar eigen initiatief en binnen enkele uren nadat de certificaten waren uitgegeven met Mozilla, Microsoft en andere browser fabrikanten contact opgenomen om samen met deze fabrikanten de certificaten in de browsers te blokkeren. Comodo heeft hierna uiteraard nog extra maatregelen genomen en het vertrouwen in haar partners sterk beperkt en procedures sterk aangescherpt. Zo is naar aanleiding hiervan automatisch domeinvalidatie voor alle bestellingen ingevoerd.Bij DigiNotar was de situatie geheel anders; DigiNotar is zelf gehacked en heeft deze hack volledig verzwegen in een poging om hier mee weg te komen. Bij DigiNotar was de situatie verre van onder controle, zoals het rapport van Fox-IT ook laat zien. Het is helaas ook mogelijk dat er bij andere CA's certificaten verkeerd zijn uitgegeven, maar dat deze CA's met het verzwijgen hiervan wel succesvol zijn weggekomen.Comodo heeft in onze ogen dus juist uitstekend gehandeld en het enige juiste gedaan. Wij zien Comodo hierdoor juist als een betrouwbare partner, het is een bedrijf dat bewezen heeft om eerlijk voor zijn fouten uit te komen. Helaas worden fouten nu eenmaal gemaakt, ook in de SSL industrie.

Mijn website is dus veilig met de certificaten van Xolphin?

Een SSL Certificaat is slechts een onderdeel van de beveiliging van uw website. Een SSL certificaat zorgt er bij goed gebruik voor dat de verbinding tussen de browser en de weberver is versleuteld zodat deze niet kan worden afgeluisterd, maar een goede beveiliging gaat veel verder dan dat. Voor een goede beveiliging dient de server te worden beveiligd en van de laatste updates te worden voorzien. Het is vooral belangrijk dat de gebruikte software compleet veilig is. Gebruik altijd de laatste versies van uw software en informeer bij uw software leverancier hoe u uw website zo goed mogelijk kunt beveiligen. Geavanceerde aanvallen op websites nemen in een snel tempo toe, het is voor de beveiliging van uw website noodzakelijk om volledig bij te blijven.

Xolphin zal binnenkort een aantal best practices publiceren waar u bij uw server- en softwarebeveiliging op dient te letten.

Welk certificaat kan ik het beste kiezen?

Voor publieke websites adviseren wij altijd om gebruik te maken van een EV Certificaat met een groene adresbalk. Deze EV certificaten voldoen aan de strenge validatie richtlijnen die het CAB forum voor deze certificaten heeft vastgelegd. Hierdoor geven zij meer vertrouwen dan certificaten waarbij de validatieprocedure minder streng is.