Certificate Transparency

Weblogbericht | 06-05-2020 | NCSC

Wat is Certificate Transparency?

Na de hack van DigiNotar in 2011 bleek dat er meer behoefte was aan transparantie en inzicht in het certificaat-uitgifte-proces van publiek vertrouwde certificaten. Om het certificaat-uitgifte-proces van publiek vertrouwde certificaten inzichtelijk en controleerbaar te maken is het Certificate Transparency (CT) framework ontworpen. Publiek vertrouwde certificaat-uitgifte autoriteiten hanteren dit framework bij het uitgeven van publiek vertrouwde certificaten. De logs waarin alle uitgegeven publiek vertrouwde certificaten zijn terug te vinden, worden de Certificate Transparency logs genoemd.

De Certificate Transparency logs vormen een verzameling van alle SSL/TLS-certificaten die door publiek vertrouwde certificaat-autoriteiten (public trusted Certificate Authorities (CA)) worden uitgegeven. In de CT logs kan dus gecontroleerd worden welke publiek vertrouwde certificaat autoriteit, een certificaat heeft uitgegeven voor een of meerdere domeinnamen. Bijvoorbeeld uitgiftedatum, verloopdatum, domeinnamen etc. Certificate Transparency logs zijn publiek en gratis doorzoekbaar. Hierdoor is het bijvoorbeeld mogelijk om verkeerd uitgegeven certificaten vroegtijdig te detecteren en indien nodig hierop te acteren. Met de komst en ingebruikname van het Certificate Transparency framework is het certificaat-uitgifte-proces transparant en controleerbaar geworden. Zie hier voor meer informatie over dit framework.

“Doordat alle publiek vertrouwde certificaat uitgifte autoriteiten het Certificate Transparency (CT) framework gebruiken, is het mogelijk om inzicht te krijgen in de certificaat uitgifte d.m.v. Certificate Transparency logs. In deze logs is informatie terug te vinden over de certificaten die door de publiek vertrouwde certificaat autoriteiten zijn uitgegeven. Deze logs zijn gratis te raadplegen en te analyseren.”

Publiek beschikbare oplossingen

Uit de Certificate Transparency logs is veel relevante informatie te verkrijgen. Er zijn gratis maar ook betaalde oplossingen op de markt die geraadpleegd kunnen worden om inzicht te krijgen in de Certificate Transparency logs. Hierbij enkele gratis bronnen die geraadpleegd kunnen worden:

• Certificate Transparency Logs search engine
• Certificaattransparantie

Op de hierboven genoemde websites kunt u vinden welke certificaten er voor een bepaald domein zijn uitgegeven. Tevens is er software beschikbaar om de volledige Certificate Transparency log te downloaden. Op deze wijze kunt u zonder afhankelijk te zijn van een derde partij analyses uitvoeren op de volledige log. Zie de Github repo Axeman van CaliDog voor meer informatie voor het downloaden van de Certificate Transparency logs.

calidog.io biedt een gratis Certificate Transparency log stream aan, die door de security community gebruikt kan worden voor het volgen van recente certificaat aanvragen. Op deze wijze is er inzicht te krijgen in voor welke (mogelijk nieuwe) domeinnamen certificaten worden aangevraagd.

• Stream met alle actuele certificaat uitgiftes

Gebruikssituaties (usecases)

Certificate Transparency logs zijn te gebruiken voor enkele interessante gebruikssituaties (usecases). We geven een toelichting op enkele interessante en relevante voorbeelden van gebruikssituaties (usecases):

• Certificate Transparency logs inzetten om sub-domeinen van hoofddomeinen in beeld te krijgen.

Wanneer u van een hoofddomeinnaam meer inzicht wilt krijgen in de sub-domeinen, als u geen toegang hebt tot de DNS-configuratie van een domein, kan het lastig zijn om de sub-domeinen te achterhalen. Door het domein op te zoeken in de Certificate Transparency logs, kan gekeken worden of er wellicht certificaat aanvragen zijn gedaan voor sub-domeinen van een bepaald domein. Op deze wijze kunt u inzicht krijgen in sub-domeinen waar u eerder geen kennis van had. Tevens is er uit het certificaat te halen wanneer deze is uitgegeven, zodat u een indicatie hebt vanaf wanneer het sub-domein met het certificaat actief is geworden.

• Certificate Transparency logs gebruiken om dubbele certificaat uitgifte te detecteren.

Als u bijvoorbeeld verantwoordelijk bent voor een aantal domeinnamen en websites, dan wilt u graag weten of er nieuwe certificaten voor de betreffende domeinen worden uitgegeven. Uitgifte van een certificaat anders dan dat u zelf al gebruikt kan duiden op een verkeerd uitgegeven certificaat of een verdachte certificaat aanvraag. Een kwaadwillende zou het dubbel uitgegeven certificaat bijvoorbeeld kunnen gebruiken voor phishing of een man-in-the-middle-aanval.

• Certificate Transparency logs inzetten om phishing te detecteren.

In de Certificate Transparency logs kunt u alle domeinnamen vinden waarvoor een (public trusted) certificaat is uitgegeven. U kunt de logs dus inspecteren op domeinnamen die overeenkomen of sterk lijken op de domeinnamen die onder uw beheer vallen. Hierbij kunt u bijvoorbeeld op zoek gaan naar punycode-domeinnamen die sterke gelijkenis vertonen met de domeinnamen die u zelf beheert. Een punycode-domein, is een domeinnaam die in plaats van alleen ASCII-tekens ook andere Uni-code karakters gebruikt om een sterke gelijkenis met een authentieke domeinnaam te hebben. Een kwaadwillende kan bijvoorbeeld het domein registeren. Op deze wijze kan een slachteroffer verleid worden om op een malafide link te klikken.

Tevens kun u de Certificate Transparency logs gebruiken om typosquatted domeinnamen te detecteren. Bij typosquatted domeinnamen registreert de kwaadwillende, net als bij punycode-domeinnamen, een domeinnaam met een sterke gelijkenis. Een kwaadwillende kan bijvoorbeeld het domein registreren.

Het is mogelijk om een gebruikssituatie te creëren waarbij alle nieuw uitgegeven certificaten (die inzichtelijk zijn door de Certificate Transparency logs) gecontroleerd worden op domeinnamen die een sterke gelijkenis vertonen met de domeinnamen waarvoor u zelf verantwoordelijk bent. Op deze wijze vallen fraudeleuze domeinnamen relatief snel te detecteren.

• Certificate Transparency inzetten om verlopen certificaten te monitoren.

Door domeinnamen waarvoor u verantwoordelijk bent te monitoren in de Certificate Transparency logs kunt u nagaan of er mogelijk certificaten binnenkort verlopen. U kunt dan vroegtijdig de certificaten vernieuwen indien nodig.

Graag maken wij u via deze wijze attent op het bestaan van de Certificaat Transparency logs en moedigen u aan om uw eigen gebruikssituaties uit te werken en hiermee uw voordeel te doen.

Luitzen Homma