Geldigheid SSL certificaat op mijn.ing.nl - Privacy en beveiliging

maandag 18 januari 2010 15:24

Acties:

Verwijderd

Topicstarter

Hoi,

Ik weet wel wat van SSL maar heb er te weinig ervaring mee om definitieve conclusies te trekken over onderstaand geval. Geen idee waar ik mensen moet vinden die het wel weten, dus ik probeer het eerst hier.

Wanneer ik https://mijn.ing.nl/ bezoek met een normale browser, gaat alles prima. Wanneer ik wget of curl gebruik, krijg ik een foutmelding met betrekking tot het certificaat. De vraag is of curl/wget fout zit, of ING.

Uitvoeren van

code:

1	$ openssl s_client -connect mijn.ing.nl:443 -showcerts

geeft onder meer de volgende output:

code:

depth=2 /C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5
verify error:num=20:unable to get local issuer certificate
verify return:0
...
 2 s:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5
   i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Dit laatste certificaat kan openssl lokaal niet valideren. (Het vorige certificaat in de chain wel, wat ook de reden kan zijn dat browsers niet moeilijk doen, maar openssl is kennelijk nogal braaf in het volledig afwerken van de meegegeven chain voordat lokaal wordt gevalideerd)

Bekijken we dit certificaat nader, dan staat er het volgende in:

code:

$ openssl x509 -in ing_c3g5_cert -text -noout
..
            X509v3 Authority Key Identifier: 
                DirName:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
                serial:3C:91:31:CB:1F:F6:D0:1B:0E:9A:B8:D0:44:BF:12:BE

Het vreemde is nu, dat deze serial niet staat in de lijst Root CA's van verisign op http://www.verisign.com/repository/root.html, wat volgens mij de reden is dat dit laatste certificaat in de chain niet gevalideerd kan worden, aangezien ik dus ook geen certificaat met die serial op mijn systeem heb staan.

Op mijn systeem staat alleen een "Class 3 Public Primary Certification Authority" met serial 70:ba:e4:1d:10:d9:29:34:b6:38:ca:7b:03:cc:ba:bf, conform de verisign lijst.

Het aantal google hits is ook veelzeggend: De 70:ba:... serial geeft er 3000, de 3c:91:... slechts 160, en die gaan vooral over problemen.

In japan kent verisign deze CA wel: https://www.verisign.co.jp/repository/root.html

Kortom, ik kan er weinig mee. Iemand anders wel?

maandag 18 januari 2010 15:36

Acties:

Verwijderd

Topicstarter

Het certificaat met serial 3c:91:... was te vinden op http://www.tbs-internet.com/verisign/pca3g1.5.crt, en daarmee lukt verificatie nu wel.

Maar om zulke "trusted" dingen nu van "tbs-internet" te moeten halen... vreemd. Is hier iets dubieus aan de hand of wordt er gewoon geprutst?

maandag 18 januari 2010 15:41

Acties:

Equator

Crew Council

#whisky #barista

Ik heb deze Class 3 Publick Primary Certification Authority gewoon als Trusted root CA op mijn werk PC staan. (Computer account) en het certificaat van ing.nl is gewoon trusted

Btw:

quote: http://www.verisign.com/repository/root.html#c3pca
Country = US
Organization = VeriSign, Inc.
Organizational Unit = Class 3 Public Primary Certification Authority

Serial Number: 70 ba e4 1d 10 d9 29 34 b6 38 ca 7b 03 cc ba bf
Operational Period: Mon Jan 29, 1996 to Tue Aug 01, 2028
Certificate SHA1 Fingerprint: 742c 3192 e607 e424 eb45 4954 2be1 bbc5 3e61 74e2

Is lastig zoeken, maar hij stat er wel

Ik heb dus uit jou eerste post de volgende info geknipt:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Deze heb ik in een text file opgeslagen als mijn.ing.nl.der

Daar op dubbelklikken levert mij een certificaat wat wel een paar vreemde "enhanced key usage" velden heeft.

Overigens de melding: unable to get local issuer certificate houdt waarschijnlijk in dat de webserver het ondertekenend Root CA niet meestuurt.

[ Voor 65% gewijzigd door Equator op 18-01-2010 15:51 ]

maandag 18 januari 2010 15:56

Acties:

alt-92

ye olde farte

Kan je Curl of Wget client overweg met EV certs?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 18 januari 2010 17:00

Acties:

Verwijderd

Topicstarter

Equator, ik zie daar toch echt niet 3C:91:31:CB:1F:F6:D0:1B:0E:9A:B8:D0:44:BF:12:BE staan...

Maar wel 70:ba:e4:1d:10:d9:29:34:b6:38:ca:7b:03:cc:ba:bf.

En dat certificaat wat ik stuurde en je hebt gecopypaste, geeft bij mij nog steeds aan dat hij door 3c:91:.. gevalideerd is/wil worden.

code:

1
2
3

            X509v3 Authority Key Identifier: 
                DirName:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
                serial:3C:91:31:CB:1F:F6:D0:1B:0E:9A:B8:D0:44:BF:12:BE

@alt-92: daar vermoed ik geen problemen, aangezien met het installeren van dat obscure certificaat van tbs-internet (onder hash /etc/ssl/certs/7651b327.1, dus als 1e alternatief) het wel werkt.

maandag 18 januari 2010 17:03

Acties:

Verwijderd

Topicstarter

Voor de duidelijkheid: dat ing certificaat is hier ook trusted, maar omdat hij halverwege de chain een lokale (en dus trusted) key gebruikt. Maw firefox hier kijkt niet naar dat laatste certificaat in de chain. Maar als je de chain uitloopt (en dat doet openssl blijkbaar), kom je bij een key die lokaal niet gevalideerd kan worden - en dat is vrij apart. Zeker als deze key volgens verisign niet bestaat.

maandag 18 januari 2010 19:54

Acties:

Equator

Crew Council

#whisky #barista

Verwijderd schreef op maandag 18 januari 2010 @ 17:00:
Equator, ik zie daar toch echt niet 3C:91:31:CB:1F:F6:D0:1B:0E:9A:B8:D0:44:BF:12:BE staan...

Mja, ik las het verkeerd inderdaad. Ik dacht dat je het Root CA niet kon vinden.

Ik kon op mijn werk dit niet controleren, maar nu zie ik wat je bedoeld.

De chain bestaat uit 2 CA's (Root en subordinate) en het webserver certificaat.

Het Root CA Certificaat is:
VeriSign Class 3 Public Primary Certification Authority - G5
Serial: 18:DA:D1:9E:26:7D:E8:BB:4A:21:58:CD:CC:6B:3B:4A

Het Subordinate:
VeriSign Class 3 Extended Validation SSL SGC CA
Serial: 2C:48:DD:93:0D:F5:59:8E:F9:3C:99:54:7A:60:ED:43

Dat haal ik even snel uit Firefox.

Maar dat is afwijkend van dat wat er in jou post staat

Het lijkt wel alsof er meerdere servers zijn en meerdere certificaten worden gebruikt..

maandag 18 januari 2010 19:59

Acties:

consolefreak

opera op mijn mobiel geeft ook al een tijd een certificaat error.. nu begrijp ik ook waarom. Maar raar dat dit bij de ING niet opgevallen is dan?

maandag 18 januari 2010 20:03

Acties:

Juup

Ik heb dit al een keer doorgebeld aan de klantenservice van ING en "ze zouden er naar kijken".
Ergens in de chain gaat het idd fout.

Bel vooral naar de klantenservice. Hoe meer mensen bellen, hoe groter de kans dat ze het repareren.

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

maandag 18 januari 2010 20:20

Acties:

Reptile209

- gers -

Equator schreef op maandag 18 januari 2010 @ 19:54:
[...]
Maar dat is afwijkend van dat wat er in jou post staat

Het lijkt wel alsof er meerdere servers zijn en meerdere certificaten worden gebruikt..

Ik kom op dezelfde certificaten uit als jij (maar dan met IE8), en ook IE vind dat de boel netjes op orde is. Het klinkt niet onlogisch dat iedere server (en ze hebben er vast meer dan één) een eigen certificaat heeft. En dat zal willekeurig aan root-CA certificaten gekoppeld zijn, afhankelijk van wanneer ze zijn aangevraagd.

Zo scherp als een voetbal!

maandag 18 januari 2010 21:00

Acties:

Equator

Crew Council

#whisky #barista

financieel gezien is het natuurlijk bullshit om alle servers een eigen certificaat te geven, terwijl je prima alle server kan voorzien van een enkel certificaat.

maandag 18 januari 2010 21:02

Acties:

Verwijderd

Equator schreef op maandag 18 januari 2010 @ 21:00:
financieel gezien is het natuurlijk bullshit om alle servers een eigen certificaat te geven, terwijl je prima alle server kan voorzien van een enkel certificaat.

Om het maar niet over administratief te hebben. Extra gedoe, formulieren ondertekenen, faxen, telefoontjes plegen, etc... Nergens voor nodig, gewoon 1 certificaat gebruiken.

[ Voor 6% gewijzigd door Verwijderd op 18-01-2010 21:03 ]

maandag 18 januari 2010 22:14

Acties:

Reptile209

- gers -

* Reptile209 makes note to self om een keer wat dieper in certificaten te duiken. Ik dacht dat ze server-based waren, maar een snelle scan op google leert dat ze aan een domein gekoppeld worden.

Carry on...

Zo scherp als een voetbal!

dinsdag 19 januari 2010 06:57

Acties:

Equator

Crew Council

#whisky #barista

Reptile209 schreef op maandag 18 januari 2010 @ 22:14:
* Reptile209 makes note to self om een keer wat dieper in certificaten te duiken. Ik dacht dat ze server-based waren, maar een snelle scan op google leert dat ze aan een domein gekoppeld worden.

Carry on...

offtopic:
Niet persee. Je kan een certificaat koppelen aan een server (mijn.ing.nl) of aan een domain (ing.nl of eigenlijk *.ing.nl)
Dat laatste heet een wildcard certificate.

Het is ook mogelijk om een certificaat aan 2 of 3 verschillende servers te koppelen (mijn.ing.nl / jouw.ing.nl / zijn.ing.nl ) Dat is dan een zogeheten UCC (Uniform communication Certificate) of in de volksmond een SAN (Subject Alternative Name) Certificate.

donderdag 21 januari 2010 23:36

Acties:

Verwijderd

Topicstarter

Ik kreeg van verisign deze link terug in reactie op een vraag:

https://knowledge.verisig...dex?page=content&id=AD146

Advisory

In our ongoing dedication to provide customers with the optimum balance of strong security and functionality, VeriSign upgraded all SSL, OFX and Code Signing products to a 1024-bit, SHA-1 root on May 17, 2009. All certificates enrolled after this date will chain up to this root.
..
How does VeriSign ensure that the new root CA Certificates and intermediates are trusted in browsers?
The new root CA "Class 3 Public Primary Certification Authority - G2" has existed since 1998, and as such is already embedded in the browsers. It simply was not used in the current hierarchy.
..
Is there something wrong with the Class 3 Public Primary Certification Authority?
70 ba e4 1d 10 d9 29 34 b6 38 ca 7b 03 cc ba bf [OLD ROOT]
No. there is nothing wrong with the current root. We are moving all newly issued certificates to a new root hierarchy in order to remain ahead of a changing security landscape.

Dus
1) het is vreemd dat verisign in zijn http://www.verisign.com/repository/root.html niet meldt dat die key outdated is, en de key daar niet geeft die er tegenwoordig voor in de plaats komt
2) het is vreemd dat ING de chain niet meegeeft tot het certificaat dat *wel* nu al in alle browsers zit, ipv op te houden bij een certificaat wat pas een half jaar bestaat
[maar dit wisten we al: 3) verisign en de hele ssl business begrijpt zelf amper wat ze aan het doen zijn]

samenvattend: de hoster van ING zit hier verkeerd.

donderdag 21 januari 2010 23:58

Acties:

Verwijderd

Topicstarter

Een nader onderzoek leverde dit nog op. Het is hetzelfde certificaat maar ondertekend met sha1 ipv md2.

code:

/tmp$ openssl x509 -in /etc/ssl/certs/7651b327.1 -noout -text > v1
/tmp$ openssl x509 -in /etc/ssl/certs/7651b327.0 -noout -text > v0
/tmp$ diff -y v0 v1
Certificate:                                                    Certificate:
    Data:                                                           Data:
        Version: 1 (0x0)                                                Version: 1 (0x0)
        Serial Number:                                                  Serial Number:
            70:ba:e4:1d:10:d9:29:34:b6:38:ca:7b:03:cc:ba:bf   |             3c:91:31:cb:1f:f6:d0:1b:0e:9a:b8:d0:44:bf:12:be
        Signature Algorithm: md2WithRSAEncryption             |         Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=US, O=VeriSign, Inc., OU=Class 3 Public Pri           Issuer: C=US, O=VeriSign, Inc., OU=Class 3 Public Pri
        Validity                                                        Validity
            Not Before: Jan 29 00:00:00 1996 GMT                            Not Before: Jan 29 00:00:00 1996 GMT
            Not After : Aug  1 23:59:59 2028 GMT              |             Not After : Aug  2 23:59:59 2028 GMT
        Subject: C=US, O=VeriSign, Inc., OU=Class 3 Public Pr               Subject: C=US, O=VeriSign, Inc., OU=Class 3 Public Pr
        Subject Public Key Info:                                        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption                             Public Key Algorithm: rsaEncryption
            RSA Public Key: (1024 bit)                                      RSA Public Key: (1024 bit)
                Modulus (1024 bit):                                             Modulus (1024 bit):
                    00:c9:5c:59:9e:f2:1b:8a:01:14:b4:10:df:04                       00:c9:5c:59:9e:f2:1b:8a:01:14:b4:10:df:04
                    db:e3:57:af:6a:45:40:8f:84:0c:0b:d1:33:d9                       db:e3:57:af:6a:45:40:8f:84:0c:0b:d1:33:d9
                    11:cf:ee:02:58:1f:25:f7:2a:a8:44:05:aa:ec                       11:cf:ee:02:58:1f:25:f7:2a:a8:44:05:aa:ec
                    1f:78:7f:9e:93:b9:9a:00:aa:23:7d:d6:ac:85                       1f:78:7f:9e:93:b9:9a:00:aa:23:7d:d6:ac:85
                    63:45:c7:72:27:cc:f4:4c:c6:75:71:d2:39:ef                       63:45:c7:72:27:cc:f4:4c:c6:75:71:d2:39:ef
                    42:f0:75:df:0a:90:c6:8e:20:6f:98:0f:f8:ac                       42:f0:75:df:0a:90:c6:8e:20:6f:98:0f:f8:ac
                    5f:70:29:36:a4:c9:86:e7:b1:9a:20:cb:53:a5                       5f:70:29:36:a4:c9:86:e7:b1:9a:20:cb:53:a5
                    e7:3d:be:7d:9a:fe:24:45:33:dc:76:15:ed:0f                       e7:3d:be:7d:9a:fe:24:45:33:dc:76:15:ed:0f
                    71:64:4c:65:2e:81:68:45:a7                                      71:64:4c:65:2e:81:68:45:a7
                Exponent: 65537 (0x10001)                                       Exponent: 65537 (0x10001)
    Signature Algorithm: md2WithRSAEncryption                 |     Signature Algorithm: sha1WithRSAEncryption
        bb:4c:12:2b:cf:2c:26:00:4f:14:13:dd:a6:fb:fc:0a:11:84 |         10:72:52:a9:05:14:19:32:08:41:f0:c5:6b:0a:cc:7e:0f:21
        8c:f3:28:1c:67:92:2f:7c:b6:c5:fa:df:f0:e8:95:bc:1d:8f |         19:cd:e4:67:dc:5f:a9:1b:e6:ca:e8:73:9d:22:d8:98:6e:73
        6c:2c:a8:51:cc:73:d8:a4:c0:53:f0:4e:d6:26:c0:76:01:57 |         03:61:91:c5:7c:b0:45:40:6e:44:9d:8d:b0:b1:96:74:61:2d
        81:92:5e:21:f1:d1:b1:ff:e7:d0:21:58:cd:69:17:e3:44:1c |         0d:a9:45:d2:a4:92:2a:d6:9a:75:97:6e:3f:53:fd:45:99:60
        9c:19:44:39:89:5c:dc:9c:00:0f:56:8d:02:99:ed:a2:90:45 |         1d:a8:2b:4c:f9:5e:a7:09:d8:75:30:d7:d2:65:60:3d:67:d6
        4c:e4:bb:10:a4:3d:f0:32:03:0e:f1:ce:f8:e8:c9:51:8c:e6 |         48:55:75:69:3f:91:f5:48:0b:47:69:22:69:82:96:be:c9:c8
        62:9f:e6:9f:c0:7d:b7:72:9c:c9:36:3a:6b:9f:4e:a8:ff:64 |         38:86:4a:7a:2c:73:19:48:69:4e:6b:7c:65:bf:0f:fc:70:ce
        0d:64                                                 |         88:90

snap er geen zak van. toch wel iets.

code:

$ openssl verify -verbose -purpose any -issuer_checks /etc/ssl/certs/7651b327.1
/etc/ssl/certs/7651b327.1: /C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
error 18 at 0 depth lookup:self signed certificate
OK

Dus dat 7651b327.1 certificaat, dat je nodig hebt om ING's laatste certificaat te valideren, is self-signed. M.a.w. dat ding moet je geinstalleerd hebben om zeker te weten dat je met ING zaken doet - tenzij je een certificaat hoger in de chain herkent.

Blijkbaar faseert Verisign minder sterke CA's uit. Aangezien de meeste certificaten een jaartje meegaan is dat snel gebeurd. Dat heeft alleen zin als ze daarna ook verzekeren dat mensen tegen die nieuwe certificaten valideren. Op een gegeven moment zullen de oude CA's moeten worden ingetrokken, en is de browser gedwongen om tot aan die G2 te checken. (anders zou de zwakste schakel altijd dat zwakke certificaat blijven dat alle browsers kennen)

En dan kunnen ineens steeds meer mensen niet op mijn.ing.nl inloggen. En dan fixen ze het.

[ Voor 11% gewijzigd door Verwijderd op 22-01-2010 00:16 ]

vrijdag 22 januari 2010 08:05

Acties:

Equator

Crew Council

#whisky #barista

Het hoogste certificaat is altijd een self-signed certificaat. Er is immers geen hogere instantie om dat ding te ondertekenen

V.w.b. het uitfaseren van oude CA's. Dat kunnen ze pas doen als alle certificaten die ze heben ondertekend met die CA, en eventueel onderliggende CA's uitgefaseerd zijn. Die zijn immers nog gewoon geldig.. Dat kan zomaar tot 2020 duren. Het is natuurlijk wel aan te raden om deze eerder om te zetten, daar MD2 (en MD5 ook) niet echt meer veilig zijn. NIST heeft deze al enige tijd van de lijst van Secure hashing algoritms verwijderd.

De nieuwe CA (zelfde CA, maar opnieuw gesigned met een SHA hash, is gewoon bekend bij de hedendaagse browsers/OS'en. Bij Windows worden die af en toe via Windows Update bijgewerkt.

Pagina: 1

Reageer