Zoeken naar foute Certificaten

Het kan tegenwoordig, real-time zoeken naar uitgegeven certificaten en dan achterhalen of deze wel valide zijn. Zo kun je malware en phishing een klein stapje voor zijn en deze domeinen op de block-list zetten.

Certificate Transparency

Afgelopen jaren is er in de PKI wereld veel veranderd omdat er het laatste decennia nogal wat incidenten geweest zijn. Grootste voorbeeld is wel de Diginotar hack en de daarbij invalide uitgegeven certificaten. Certificate Transparency is het antwoord om de invalide uitgegeven certificaten tegen te gaan.

Om daar beter mee om te gaan zijn CA’s verplicht al hun uitgegeven certificaten publiek te publiceren zodat iedereen kunt zien welke ze uitgeven, dit noemen ze Certificate Transparency Logs. Hiermee kun je van te voren uitzoeken welke certificaten er uitgegeven worden voor welke domeinen en sub-domeinen. Rondom de Certificate Transparency Logs kun je dan websites met zoekfuncties bouwen. Browsers kunnen dan bij bezoek van een TLS website een controle uitvoeren of het certificaat op valide manier is uitgegeven.

Zoeken en controleren

Zoeken naar domeinen is al een tijdje mogelijk maar het zoeken naar sub-domeinen is vaak lastiger. Dit laatste kun je in de databases van Certificate Transparency eenvoudig zoeken en zo kun je bijvoorbeeld zoeken naar <banknaam>.example.com om te achterhalen of er een website online is gegaan.

Als bank kun je bijvoorbeeld je naam in de gaten houden en dagelijks zoeken of er iets is uitgegeven op <jouwbanknaam>.phishingsite.nl en als er dan wat naar boven komt deze via NTD proces al van het web halen. Proactief ipv reactief en pas na melding de NTD starten. Je bent dan een stapje voor en mogelijk kun je nog voordat de phishing mail wordt verstuurd de website al offline laten halen.

Opleggen aan browser

Je kunt een en ander aan de webserver kan aan de browser afdwingen. Dit doe je met de header Expect-CT. Met deze optie kun je de browser dwingen om het Certificate Transparency beleid aan te houden: krijgt de browser geen of te weinig SCT’s terug in het certificaat, dan accepteert hij de website niet.

In combinatie met de Security Headers HSTS en Expect-CT op de webserver, DNSSec met de CAA en TLSA records is Certificate Transparancy een welkomen toevoeging om de PKI wereld beter en veiliger te maken.

Open Databases

Er zijn diverse openbare bronnen waarin je kunt zoeken. Sommige hebben ook een API zodat je die via eigen applicaties zou kunnen raadplegen en direct in de incident database als ticket kunt opnemen.

Voorbeelden van web-based zoeken zijn:

Google: https://transparencyreport.google.com/https/certificates

Comodo: https://crt.sh/

Entrust: https://www.entrust.com/ct-search/

Symantec: https://cryptoreport.websecurity.symantec.com/checker/views/ctsearch.jsp

 

Meer info: https://www.certificate-transparency.org/