Heartbleed-bug: 30.000 vernieuwde certificaten onbetrouwbaar door fout van IT-beheerders
12-05-2014
Deel dit artikel:

Heartbleed-bug: 30.000 vernieuwde certificaten onbetrouwbaar door fout van IT-beheerders


De Heartbleed-bug leidt tot veel fouten van IT-beheerders. Vorige week werd al duidelijk dat 3.000 websites die in eerste instantie veilig waren door verkeerd handelen van de beheerder kwetsbaar zijn geworden voor de Heartbleed-bug. Nu blijken IT-beheerders ook de fout in te zijn gegaan bij het vervangen van ruim 30.000 SSL-certificaten.

De Heartbleed-kwetsbaarheid is een ernstig lek in OpenSSL, een open source-implementatie van de veilige protocollen SSL/TLS. Aanvallers het geheugen van machines uitlezen door misbruik te maken van het beveiligingsgat. Beheerders van getroffen websites moeten dan ook maatregelen nemen om hun website weer veilig te maken. Vele beheerders hebben dit inmiddels gedaan.

Private key
Dit verloopt echter zeker niet altijd soepel. Door de Heartbleed-bug kan de private encryptiesleutel van de certificaten op straat komen te liggen. Een fors aantal beheerders heeft zich dit kennelijk niet gerealiseerd, aangezien zij de private key van het getroffen certificaat hebben hergebruikt in het nieuwe certificaat. Dit nieuwe certificaat biedt hierdoor net als het getroffen certificaat bezoekers geen enkele zekerheid.

Bezoekers van websites kunnen via de certificaten de echtheid van een website controleren. Het is voor hackers namelijk erg eenvoudig een website te kopiëren en op een ander webadres te hosten. Via deze weg kunnen zij gegevens van bezoekers proberen te bemachtigen of hen proberen te besmetten met malware. Het certificaat maakt duidelijk of het om een echte of nagemaakte website gaat.

Certificaat vervalsen
Een dergelijk certificaat bevat een private key. Aan de hand van deze key worden publieke sleutels gegenereerd. Via de Heartbleed-bug konden aanvallers echter de private key van websites in handen krijgen. Dit stelt hen in staat niet alleen de website, maar ook het certificaat van de website te vervalsen. Een nagemaakte website is hierdoor niet meer van echt te onderscheiden.

De cijfers zijn aan het licht gebracht door Netcraft. Het bedrijf stelt dat beheerders drie stappen moeten doorlopen om hun website na de Heartbleed-bug weer veilig te maken:

  • Vervang de SSL-certificaten op de website
  • Trek de oude SSL-certificaten in
  • Gebruik een nieuwe private key voor de nieuwe certificaten

Veel websites zijn nog kwetsbaar
Netcraft stelt dat slechts 14 procent van alle getroffen websites deze stappen daadwerkelijk heeft opgevolgd. 5 procent van de website zou wel certificaten hebben vervangen, maar de private key niet hebben vervangen. De certificaten van deze website bieden dus geen enkele zekerheid. Er zijn overigens ook nog veel websites te vinden die nog steeds onveilig zijn. 57 procent van de getroffen websites zou nog geen enkele maatregel hebben genomen.

WH

Terug naar nieuws overzicht

Tags

Security
Security