Helpdesk

Comodo SSL Certificaten

Twijfels over Comodo door de uitgifte van niet-gevalideerde SSL certificaten

In december 2008 werd duidelijk dat een Comodo reseller genaamd Certstar een SSL certificate had uitgegeven voor het domein "mozilla.com" aan Eddy Nigg, van Startcom Ltd., iemand die geen enkele relatie heeft met dat domein. Er had klaarblijkelijk geen validatie plaatsgevonden tijdens de aanvraag van het SSL certificaat.

Het is niet te achterhalen hoe vaak deze misstap bij deze reseller heeft plaatsgevonden. Het is daarbij niet de eerste keer dat een Comodo reseller SSL certificaten heeft uitgegeven zonder validatie, hetzelfde gebeurde namelijk al drie jaar eerder bij de reseller E-BizID. Je zou verwachten dat Comodo toen al stappen ondernomen had om dit soort fouten in de toekomst te voorkomen. Echter zonder resultaat. Zolang Comodo doorgaat met het uitbesteden van de validatie procedure aan resellers en hier geen controle op uitoefent, blijft het mogelijk dat er niet-gevalideerde Comodo SSL certificaten worden uitgegeven.

Aangezien de hele SSL infrastructuur voor het grootste deel is gebaseerd op vertrouwen, mag je verwachten dat de validatie procedure nauwkeurig wordt uitgevoerd door een Certificaat instantie die speciaal daarvoor zijn procedures heeft moeten laten toetsen en vastleggen. Als de validatie dan wordt overgelaten aan een reseller en de Certificaat instantie faalt tenslotte ook nog bij de controle op de procedures bij de reseller, dan krijgt het vertrouwen in certificaat autoriteiten een ernstige deuk. De les die we uit dit voorval moeten leren is het belang van correct uitgevoerde validatie procedures.

Als Comodo waarde hecht aan zijn naam als Certificaat Autoriteit, zullen ze het publiek duidelijk moeten maken wat hun beleid ten aanzien van resellers inhoudt en hoe ze dit beleid bij de resellers denken te handhaven. Comodo heft tot nu toe alleen verklaart dat de Certstar zaak een eenmalig incident was en dat ze alle orders van Certstar zullen controleren. 

Gezien deze gebeurtenissen plaatst onze Site Check een waarschuwing wanneer het een Comodo certificaat tegenkomt en wij adviseren onze klanten om Comodo certificaten liever niet te gebruiken of ze te vervangen.

Bronnen:
http://groups.google.com/group/mozilla.dev.tech.crypto/browse_thread/thread/9c0cc829204487bf
http://jooray.soup.io/post/10105517/State-of-art-certificates-Whom-do-you
https://bugzilla.mozilla.org/show_bug.cgi?id=470897
http://msmvps.com/blogs/hostsnews/archive/2009/07/10/1699205.aspx
http://www.f-secure.com/weblog/archives/00002017.html
http://blogs.technet.com/b/msrc/archive/2011/03/23/microsoft-releases-security-advisory-2524375.aspx