Difference between revisions of "SSL Certificaten"

From Cncz
Jump to: navigation, search
([SSL certificaten][SSL certificates])
([Certificaten verkrijgen][Obtaining a certificate])
Line 18: Line 18:
 
Omdat een SSL Certificaat gebruikt wordt als '''bewijs''' dat de website of server valide is, kan niet zomaar iedereen een gesigneerd certificaat aanvragen voor een willekeurige domeinnaam.  De Certificate Authority controleert dat de aanvrager de rechtmatige eigenaar is van de domeinnaam waarvoor het certificaat wordt aangevraagd.  Domeinnamen die via C&CZ worden [[Domeinnaam registratie|geregistreerd]] komen op naam van de Radboud Universiteit te staan.  Voor zulke domeinnamen kan C&CZ ook een SSL Certificaat aanvragen.
 
Omdat een SSL Certificaat gebruikt wordt als '''bewijs''' dat de website of server valide is, kan niet zomaar iedereen een gesigneerd certificaat aanvragen voor een willekeurige domeinnaam.  De Certificate Authority controleert dat de aanvrager de rechtmatige eigenaar is van de domeinnaam waarvoor het certificaat wordt aangevraagd.  Domeinnamen die via C&CZ worden [[Domeinnaam registratie|geregistreerd]] komen op naam van de Radboud Universiteit te staan.  Voor zulke domeinnamen kan C&CZ ook een SSL Certificaat aanvragen.
 
[/nl]
 
[/nl]
 +
[en]
 +
Because SSL certificates are used as '''proof''' of the validity of the web site or server, it is not possible to acquire a signed SSL certificate for just any domain name.  The Certificate Authorities check if the person or organisation requesting a certificate is indeed the owner of the domain name for which the certificate is requested.  Domain names [[Domeinnaam registratie|registered]] through C&CZ are owned by the Radboud University.  Therefore C&CZ can also request SSL Certificates for these domain names.
 +
[/en]
 +
 +
= [Heartbleed OpenSSL lek][Heartbleed OpenSSL bug] =
  
 +
[nl]
 +
Op 7 april 2014 werd bekend dat er enkele jaren een kwetsbaarheid (lek) heeft gezeten in een aantal versies van [https://www.openssl.org/ OpenSSL]. OpenSSL wordt gebruikt voor het versleutelen van netwerkverkeer. Door dit lek kon een aanvaller de geheime sleutel van een service ophalen, waarmee versleuteld verkeer ontsleuteld kon worden. Daarnaast kon door dit lek een aanvaller het complete geheugen van de service lezen, waarin gevoelige informatie als wachtwoorden kon staan.
 +
 +
Na het bekend worden het [http://heartbleed.com/ Heartbleed OpenSSL lek] zijn alle kwetsbare C&CZ services automatisch gerepareerd. Daarna zijn op donderdag 10 april nieuwe certificaten ingezet. De oude certificaten worden [http://nl.wikipedia.org/wiki/Certificate_revocation_list ongeldig verklaard]. Indien men de onderstaande C&CZ services gebruikt heeft, is het verstandig om het Science wachtwoord op de [http://dhz.science.ru.nl DHZ website] aan te passen. Het oude wachtwoord zou namelijk bij een aanvaller bekend kunnen zijn geworden.
 +
 +
De lijst van kwetsbare C&CZ services waar medewerkers of studenten van FNWI gebruik van kunnen hebben gemaakt is:
 +
[nl]
 +
[en]
 +
[/en]
 +
* squirrel.science.ru.nl: [De oude Science webmailservice was kwetsbaar sinds 29 januari 2014.][The old Science webmail service was vulnerable since January 29, 2014.]
 +
 +
* roundcube.science.ru.nl: [De nieuwe Science webmailservice.][The new Science webmail service.]
 +
 +
* autoconfig.science.ru.nl: [De website voor automatische configuratie van mailprogramma's als Thunderbird en Outlook.][The website for automatic configuration of mail clients like Thunderbird and Outlook.]
 +
 +
* [Docenten][Lecturers]: dossiers.science.ru.nl [en][and] eduview.science.ru.nl
 +
 +
* MySQL database [eigenaren][owners]: phpmyadmin.science.ru.nl
 +
 +
* FNWI [nieuwsbrief][news letter] editors: newsroom.science.ru.nl
 +
 +
* [Websites van afdelingen en studievereniging][Websites of departments and study association]:
 +
www.sos.cs.ru.nl
 +
prover.cs.ru.nl
 +
demo.irmacard.org
 +
molchem.science.ru.nl
 +
www.beevee.nl
 +
fmsresearch.nl
 +
[nl]
 +
Ook andere organisaties dan C&CZ zullen gebruikers informeren of het nodig is om wachtwoorden te veranderen i.v.m. dit lek. Enkele voorbeelden:
 +
* Het [http://www.ru.nl/ictservicecentrum/actueel/nieuws/berichten/dringend-advies-0/ ISC] o.a. over het RU-wachtwoord.
 +
* De grote Nederlandse banken hebben aangegeven geen OpenSSL te gebruiken en dus niet kwetsbaar geweest te zijn voor dit lek.
 +
* Een [http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/?utm_campaign=Feed%3A+Mashable+%28Mashable%29&utm_cid=Mash-Prod-RSS-Feedburner-All-Partial&utm_medium=feed&utm_source=feedburner&utm_content=Google+International overzicht van grote Internetbedrijven].
 +
[/nl]
 
[en]
 
[en]
Because SSL certificates are used as '''proof''' of the validity of the web site or server, it is not possible to acquire a signed SSL certificate for just any domain name.  The Certificate Authorities check if the person or organisation requesting a certificate is indeed the owner of the domain name for which the certificate is requested.  Domain names [[Domeinnaam registratie|registered]] through C&CZ are owned by the Radboud University.  Therefore C&CZ can also request SSL Certificates for these domain names.
 
 
[/en]
 
[/en]
  
 
[[Category:Internet]]
 
[[Category:Internet]]

Revision as of 13:17, 11 April 2014

SSL certificates

Any service accessible via SSL (https) must have an SSL certificate. This includes any web server with encrypted or "secure" content. An SSL (Secure Socket Layer) certificate is a signed electronic guarantee that a particular server is the server it claims to be. Certificates are used primarily (but not exclusively) for providing web pages via an encrypted connection. A certificate is signed by a Certificate Authority (CA) which ensures the integrity of the certificate.

A few Certificate Authorities such as Verisign, Thawte, and Terena are automatically trusted by SSL clients (including web browsers), so certificates signed by these companies are validated without user confirmation. Until recently C&CZ signed its own certificates but now all certificates of servers and web applications are signed by Terena (through SURFdiensten).

Obtaining a certificate

Because SSL certificates are used as proof of the validity of the web site or server, it is not possible to acquire a signed SSL certificate for just any domain name. The Certificate Authorities check if the person or organisation requesting a certificate is indeed the owner of the domain name for which the certificate is requested. Domain names registered through C&CZ are owned by the Radboud University. Therefore C&CZ can also request SSL Certificates for these domain names.

Heartbleed OpenSSL bug