Er blijken ruim 37.000 ssl-certificaten in omloop te zijn, die een gevaar kunnen vormen voor internetgebruikers. Het gaat om certificaten die gelden voor een locatie die niet uniek is, waardoor ze kunnen worden misbruikt voor hackaanvallen.
De Amerikaanse digitale-burgerrechtenbeweging Electronic Frontier Foundation onderzocht hoeveel ssl-certificaten zijn verstrekt voor niet-unieke domeinen. Een uniek domein mag op het internet maar één keer voorkomen, terwijl een niet-uniek domein vaak wordt gebruikt voor intern netwerkverkeer. Zo kunnen verschillende netwerken een lokale host met de naam 'mail' hebben, terwijl het domein 'tweakers.net' op het internet maar één keer mag worden gebruikt.
Volgens de EFF hebben certificaatautoriteiten vele duizenden keren certificaten verstrekt voor niet-unieke domeinen. Een certificaat voor het domein 'exchange' is 806 keer verstrekt, terwijl voor gerelateerde domeinen als 'exchange01' of 'exch' nog duizenden andere certificaten zijn uitgegeven. Exchange is een veelgebruikte zakelijke mailserver van Microsoft. Als verschillende partijen een ssl-certificaat voor hetzelfde domein hebben bemachtigd, is het certificaat nutteloos geworden.
Bovendien veroorzaakt dit een groter risico op man in the middle-aanvallen, waarbij een aanvaller inbreekt in de communicatie tussen een gebruiker en een server. Een aanvaller kan bijvoorbeeld een interne dns-server hacken en het verkeer dat voor de host 'exchange' is bestemd naar een externe host laten doorsturen. Met een ssl-certificaat kan hij gebruikers een beveiligde verbinding met de server laten opbouwen, zodat zij niet doorhebben dat ze met een andere server te maken hebben.
Opvallend is dat sommige certificaatautoriteiten, die zijn belast met het uitgeven van de ssl-certificaten, verschillende klanten een ssl-certificaat voor hetzelfde domein gaven. Volgens de EFF duidt dat erop dat de ca's niet controleren of certificaten wel geldig zijn. Al even opmerkelijk is dat er circa vijfduizend certificaten zijn uitgegeven voor het domein 'localhost', dat altijd verwijst naar het eigen systeem, waardoor de certificaten van weinig nut zijn.
Ook ontdekte de EFF dat er certificaten in omloop zijn voor domeinen met niet-bestaande extensies, zoals '.farm', '.tech' en '.virtual'. Op dit moment zijn die certificaten weliswaar weinig bruikbaar, omdat de bijbehorende domeinnamen niet werken, maar de Icann werkt aan de mogelijkheid voor organisaties om zelf top-level-domeinen te registreren. Een bedrijf zou daardoor het '.tech'-domein kunnen claimen, terwijl daarvoor al ssl-certificaten zijn uitgegeven.
Bron: tweakers.net