Difference between revisions of "SSL Certificaten"

From Cncz
Jump to navigation Jump to search
 
(One intermediate revision by the same user not shown)
Line 2: Line 2:
  
 
[nl]
 
[nl]
Iedere service beschikbaar via SSL (https) moet een SSL certificaat hebben, zo ook elke webserver met versleutelde of "beveiligde" inhoud. Een SSL (Secure Socket Layer) certificaat is een elektronisch getekende garantie dat een bepaalde server daadwerkelijk de server is die deze claimt te zijn. Ze worden hoofdzakelijk (maar niet alleen) gebruikt om webpagina's te geven via een versleutelde verbinding. Een certificaat is getekend door een Certificate Authority (CA), deze verzekert de integriteit van het certificaat.
+
Iedere service die beschikbaar is via SSL (https), moet een SSL certificaat hebben, zo ook elke webserver met versleutelde of "beveiligde" inhoud. Een SSL (Secure Socket Layer) certificaat is een elektronisch getekende garantie dat een bepaalde server daadwerkelijk de server is die deze claimt te zijn. Ze worden hoofdzakelijk (maar niet alleen) gebruikt om webpagina's te geven via een versleutelde verbinding. Een certificaat is getekend door een Certificate Authority (CA), deze verzekert de integriteit van het certificaat.
  
Een aantal Certificate Authorities wordt standaard vertrouwd door SSL clients (inclusief web-browsers), o.a. Verisign, Thawte en Terena. Dat wil zeggen dat certificaten door een van deze getekend zonder meer vertrouwd worden zonder tussenkomst van de gebruiker. Tot voor kort tekende C&CZ de certificaten zelf maar inmiddels (via Surfdiensten) zijn alle servers en webapplicaties voorzien van door Terena (via SURFdiensten) getekende certificaten.
+
Een aantal Certificate Authorities wordt standaard vertrouwd door SSL clients (inclusief web-browsers), o.a. Verisign, Thawte en Terena. Dat wil zeggen dat certificaten door een van deze getekend zonder meer vertrouwd worden zonder tussenkomst van de gebruiker. Alle C&CZ servers en webapplicaties zijn voorzien van door Terena (via SURFdiensten) getekende certificaten.
 
[/nl]
 
[/nl]
  
Line 10: Line 10:
 
Any service accessible via SSL (https) must have an SSL certificate. This includes any web server with encrypted or "secure" content. An SSL (Secure Socket Layer) certificate is a signed electronic guarantee that a particular server is the server it claims to be. Certificates are used primarily (but not exclusively) for providing web pages via an encrypted connection. A certificate is signed by a Certificate Authority (CA) which ensures the integrity of the certificate.
 
Any service accessible via SSL (https) must have an SSL certificate. This includes any web server with encrypted or "secure" content. An SSL (Secure Socket Layer) certificate is a signed electronic guarantee that a particular server is the server it claims to be. Certificates are used primarily (but not exclusively) for providing web pages via an encrypted connection. A certificate is signed by a Certificate Authority (CA) which ensures the integrity of the certificate.
  
A few Certificate Authorities such as Verisign, Thawte, and Terena are automatically trusted by SSL clients (including web browsers), so certificates signed by these companies are validated without user confirmation. Until recently C&CZ signed its own certificates but now all certificates of servers and web applications are signed by Terena (through SURFdiensten).
+
A few Certificate Authorities such as Verisign, Thawte, and Terena are automatically trusted by SSL clients (including web browsers), so certificates signed by these companies are validated without user confirmation. All C&CZ certificates of servers and web applications are signed by Terena (through SURFdiensten).
 
[/en]
 
[/en]
  
Line 61: Line 61:
  
 
* Het [http://www.ru.nl/ictservicecentrum/actueel/nieuws/berichten/dringend-advies-0/ ISC] o.a. over het RU-wachtwoord.
 
* Het [http://www.ru.nl/ictservicecentrum/actueel/nieuws/berichten/dringend-advies-0/ ISC] o.a. over het RU-wachtwoord.
* De grote Nederlandse banken [http://nos.nl/artikel/633432-beveiligde-internetverbindingen-lek.html hebben volgens de NOS aangegeven] geen OpenSSL te gebruiken en dus niet kwetsbaar geweest te zijn voor dit lek. De NOS linkt naar een [https://twitter.com/cducroix/status/453452094268510208/photo/1 Twitterpagina die anders zegt].
+
* De grote Nederlandse banken hebben [http://nos.nl/artikel/633432-beveiligde-internetverbindingen-lek.html volgens de NOS] aangegeven geen OpenSSL te gebruiken en dus niet kwetsbaar geweest te zijn voor dit lek. De NOS linkt naar een [https://twitter.com/cducroix/status/453452094268510208/photo/1 Twitterpagina die anders zegt].
 
* Een [http://www.volkskrant.nl/vk/nl/2694/Tech-Media/article/detail/3632963/2014/04/10/Heartbleed--lek-deze-wachtwoorden-kunt-u-het-best-zo-snel-mogelijk-wijzigen.dhtml lijst van Internet bedrijven samengesteld door de Volkskrant].
 
* Een [http://www.volkskrant.nl/vk/nl/2694/Tech-Media/article/detail/3632963/2014/04/10/Heartbleed--lek-deze-wachtwoorden-kunt-u-het-best-zo-snel-mogelijk-wijzigen.dhtml lijst van Internet bedrijven samengesteld door de Volkskrant].
 
* Een (Engelstalig) [http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/?utm_campaign=Feed%3A+Mashable+%28Mashable%29&utm_cid=Mash-Prod-RSS-Feedburner-All-Partial&utm_medium=feed&utm_source=feedburner&utm_content=Google+International overzicht van grote Internetbedrijven].
 
* Een (Engelstalig) [http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/?utm_campaign=Feed%3A+Mashable+%28Mashable%29&utm_cid=Mash-Prod-RSS-Feedburner-All-Partial&utm_medium=feed&utm_source=feedburner&utm_content=Google+International overzicht van grote Internetbedrijven].
Line 69: Line 69:
  
 
* The [http://www.ru.nl/ictservicecentrum/actueel/news/@938292/security-leak/ ISC] about a.o. the RU password.
 
* The [http://www.ru.nl/ictservicecentrum/actueel/news/@938292/security-leak/ ISC] about a.o. the RU password.
* The big Dutch banks [http://nos.nl/artikel/633432-beveiligde-internetverbindingen-lek.html let know (according to the NOS)] that they do not use OpenSSL and thus not have been vulnerable to this bug. The NOS links to a [https://twitter.com/cducroix/status/453452094268510208/photo/1 Twitter page that says different].
+
* The big Dutch banks let know [http://nos.nl/artikel/633432-beveiligde-internetverbindingen-lek.html according to the NOS] that they do not use OpenSSL and thus not have been vulnerable to this bug. The NOS links to a [https://twitter.com/cducroix/status/453452094268510208/photo/1 Twitter page that says different].
 
* A (Dutch) [http://www.volkskrant.nl/vk/nl/2694/Tech-Media/article/detail/3632963/2014/04/10/Heartbleed--lek-deze-wachtwoorden-kunt-u-het-best-zo-snel-mogelijk-wijzigen.dhtml list van Internet companies put together by the Dutch newspaper de Volkskrant].
 
* A (Dutch) [http://www.volkskrant.nl/vk/nl/2694/Tech-Media/article/detail/3632963/2014/04/10/Heartbleed--lek-deze-wachtwoorden-kunt-u-het-best-zo-snel-mogelijk-wijzigen.dhtml list van Internet companies put together by the Dutch newspaper de Volkskrant].
 
* An [http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/?utm_campaign=Feed%3A+Mashable+%28Mashable%29&utm_cid=Mash-Prod-RSS-Feedburner-All-Partial&utm_medium=feed&utm_source=feedburner&utm_content=Google+International overview of big Internet companies].
 
* An [http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/?utm_campaign=Feed%3A+Mashable+%28Mashable%29&utm_cid=Mash-Prod-RSS-Feedburner-All-Partial&utm_medium=feed&utm_source=feedburner&utm_content=Google+International overview of big Internet companies].

Latest revision as of 15:57, 11 April 2014

SSL certificaten

Iedere service die beschikbaar is via SSL (https), moet een SSL certificaat hebben, zo ook elke webserver met versleutelde of "beveiligde" inhoud. Een SSL (Secure Socket Layer) certificaat is een elektronisch getekende garantie dat een bepaalde server daadwerkelijk de server is die deze claimt te zijn. Ze worden hoofdzakelijk (maar niet alleen) gebruikt om webpagina's te geven via een versleutelde verbinding. Een certificaat is getekend door een Certificate Authority (CA), deze verzekert de integriteit van het certificaat.

Een aantal Certificate Authorities wordt standaard vertrouwd door SSL clients (inclusief web-browsers), o.a. Verisign, Thawte en Terena. Dat wil zeggen dat certificaten door een van deze getekend zonder meer vertrouwd worden zonder tussenkomst van de gebruiker. Alle C&CZ servers en webapplicaties zijn voorzien van door Terena (via SURFdiensten) getekende certificaten.

Certificaten verkrijgen

Omdat een SSL Certificaat gebruikt wordt als bewijs dat de website of server valide is, kan niet zomaar iedereen een gesigneerd certificaat aanvragen voor een willekeurige domeinnaam. De Certificate Authority controleert dat de aanvrager de rechtmatige eigenaar is van de domeinnaam waarvoor het certificaat wordt aangevraagd. Domeinnamen die via C&CZ worden geregistreerd komen op naam van de Radboud Universiteit te staan. Voor zulke domeinnamen kan C&CZ ook een SSL Certificaat aanvragen.

Heartbleed OpenSSL lek

Op 7 april 2014 werd bekend dat er enkele jaren een kwetsbaarheid (lek) heeft gezeten in een aantal versies van OpenSSL. OpenSSL wordt gebruikt voor het versleutelen van netwerkverkeer. Door dit lek kon een aanvaller de geheime sleutel van een service ophalen, waarmee versleuteld verkeer ontsleuteld kon worden. Daarnaast kon door dit lek een aanvaller het complete geheugen van de service lezen, waarin gevoelige informatie als wachtwoorden kon staan.

Na het bekend worden van dit Heartbleed OpenSSL lek zijn alle kwetsbare C&CZ services automatisch gerepareerd. Daarna zijn op donderdag 10 april nieuwe certificaten ingezet. De oude certificaten worden ongeldig verklaard. Indien men de onderstaande C&CZ services gebruikt heeft, is het verstandig om het Science wachtwoord op de DHZ website aan te passen. Het oude wachtwoord zou namelijk bij een aanvaller bekend kunnen zijn geworden.

De lijst van kwetsbare C&CZ services waar medewerkers of studenten van FNWI gebruik van kunnen hebben gemaakt is:

  • Mailgebruikers:
    • squirrel.science.ru.nl: De oude Science webmailservice was kwetsbaar sinds 29 januari 2014.
    • roundcube.science.ru.nl: De nieuwe Science webmailservice.
    • autoconfig.science.ru.nl: De website voor automatische configuratie van mailprogramma's als Thunderbird en Outlook.
  • Docenten: dossiers.science.ru.nl en eduview.science.ru.nl
  • MySQL database eigenaren: phpmyadmin.science.ru.nl
  • FNWI nieuwsbrief editors: newsroom.science.ru.nl
  • Websites van afdelingen en studievereniging:
    • www.sos.cs.ru.nl
    • prover.cs.ru.nl
    • demo.irmacard.org
    • molchem.science.ru.nl
    • www.beevee.nl
    • fmsresearch.nl

Ook andere organisaties zullen gebruikers informeren of het nodig is om wachtwoorden te veranderen i.v.m. dit lek. Enkele voorbeelden: