Onderzoekers van het Duitse Fraunhofer SIT-instituut claimen dat de domeinvalidatie bepaalde grote certificaatautoriteiten kwetsbaar is voor cache poisoning van de dns-cache, waardoor een aanvaller een certificaat voor het domein van een ander kan verkrijgen.

De onderzoekers hebben hun bevindingen beschreven in een paper dat ze gedeeld hebben met The Register en Heise. Omdat verschillende autoriteiten nog kwetsbaar zouden zijn, hebben ze de namen van de organisaties niet openbaar gemaakt. De sites schrijven dat een aanvaller met methode in staat is een digitaal certificaat voor een domein te verkrijgen van een andere partij. Vervolgens is het bijvoorbeeld mogelijk een kwaadaardige nepsite in het leven geroepen, die voor bezoekers over het juiste certificaat lijkt te beschikken.

De aanval maakt gebruik van cache poisoining op basis van ipv4-fragmentatie, aldus Heise. Dat is geen nieuwe techniek. Het zou daarvoor niet nodig zijn om actief netwerkpakketten te onderscheppen. The Register citeert uit het onderzoek: "De aanval begint met een dns-verzoek. Om de aanval te laten slagen, moet de aanvaller een juist dns-antwoord zien op te stellen voordat het daadwerkelijke antwoord van de echte dns-server aankomt." Door de dns-pakketten 'op te breken' in twee delen, kan de aanvaller valse ip-adressen in de dns-cache laten opnemen.

Domeinvalidatie is een manier waarop certificaatautoriteiten controleren of een partij daadwerkelijk de eigenaar is van een domein. Dit gebeurt doorgaans geautomatiseerd. Onderdeel van het proces kan bijvoorbeeld het aanmaken van een txt record zijn. Er zijn ook andere methodes die meer eisen stellen, zoals extended validation. De onderzoekers hebben hun eigen variant van domeinvalidatie voorgesteld onder de naam DV++, die resistent moet zijn tegen hun aanval. Die willen ze presenteren op de komende ACM-conferentie in Canada. Dnssec zou ook een effectieve verdediging zijn.

Reacties mogelijk gemaakt door CComment