Sertifikatet til NSMs nettsted for sikring av e-post utløp på dato

[Gjest Marius B. Jørgenrud]

Sertifikatet til NSMs nettsted for sikring av e-post utløp på dato

[neglesprett]

Er det amatører som jobber i NSM? Dette er jo rett og slett useriøst.

[Theo343]

Dagens

[Stompa]

Det kjekke er jo at de i tillegg ikke følger sine egne anbefalninger.

Ref:

Quote

3.1 Benytt en tiltrodd sertifikatutsteder

Velg en leverandør som har åpenhet om utstedte sertifikater (Certificate Transparency). Certificate transparency innebærer en offentlig logg over alle utstedte sertifikater fra sertifikatutstederen. En slik offentlig logg gir mulighet for innsyn i, og kontroll med, hvilke sertifikater som er utstedt. Certificate transparency er foreslått i RFC6962.

Velg en leverandør som tilbyr Extended Validation (EV)-sertifikater. EV-sertifikater er sertifikater hvor sertifikatutsteder har gjort utvidede sjekker av identiteten til virksomheten, f.eks. at virksomheten har et organisasjonsnummer i Brønnøysundregisterne og har et virkende telefonnummer. EVsertifikater får typisk grønn adresselinje. Fra 1. januar 2015, har Google Chrome krevd at alle EVsertifikater er underlagt Certificate Transparency.

Velg en sertifikatutsteder underlagt norsk lovgivning. En sertifikatutsteder underlagt norsk lovgivning kan ikke presses av utenlandske aktører til å utstede falske sertifikater. Ved å begrense sertifikatutstedere til norske, vil klienter kunne fjerne flere sertifikatutstedere de ikke behøver å stole på. Reduksjon av tiltrodde sertifikatutstedere øker sikkerheten da enhver tiltrodd sertifikatutsteder kan utstede sertifikater for ethvert nettsted. I tillegg bør man binde sertifikatet og sertifikatutstederen mot nettstedet gjennom bruk av HPKP (se kapittel 3.7) slik at falske sertifikatet ikke kan benyttes.

 

Let's Encrypt != Buypass

Ref: Nasjonal sikkerhetsmyndighet, IT-veiledning for ugraderte systemer nr. 15 (U-15), Hypertext Transport Protocol Secure

[bmork]

Automatisk fornying av sertifkater og tilhørende distribusjon er risky business.  Veldig mange ting som kan gå galt, og NSM er ikke de eneste som har bommet der.  Så det synes jeg ikke er noe å harselere over.

Innholdet på dmarc.no burde man derimot se på med stor skepsis. De anbefaler bla ukritisk SFP uten å komme inn på noen av utfordringene.  Dette er dønn useriøst, enten det skyldes inkompetanse eller bare at de gir blaffen.

SPF er ikke kompatibelt med epost slik det har fungert fra tidenes morgen og fremedeles fungerer.  Det brekker forwarding, malinglister og road warriors.  Det siste kan du nok for det meste jobbe deg rundt ved å tilby fjerntilgang  til egen epost-server.  Men det har åpenbare sikkerhetskonsekvenser som også burde vært diskutert.  De andre problemene kan du ikke gjøre noe med. En del mailinglister har stygge hack for at avsendere med strenge SFP-policyer også skal kunne bruke dem, men det gjelder langt fra alle.  Og slike workarounds har også sine problemer.

Det er useriøst å ikke diskutere disse problemene.

SPF er kun egnet til å sperre sending av epost fra domener som aldri skal sende epost.

Automatisk DKIM-signering på egen mail-server beskytter det samme som SPF og mer til. Samtidig brekker ikke hverken forwarding eller mailinglister (med unntak av buggy konfigurasjoner da..). Road warriors vil fremdeles være et problem, men samme løsning som for SPF vil virke.  Samtidig er det lett å løse et problem som ofte oppstår i en bedrift:  At eksterne kan sende epost på bedriftens vegne.  Det er bare å gi dem en egen nøkkel og selektor.  Du kan ha uendelig mange slike.

Jeg er gjerne med på anbefalingen av STARTTLS og DNSSEC, men skulle ønske at de i det minste nevnte den naturlige måten å kombinere dette:  DANE.

Til slutt kan  jeg heller ikke dy meg mht harsellering over NSMs sertifikater: De skriver

Quote

Etter flere hendelser med sertifikatutstedere og angrep ved hjelp av sertifikater, anbefaler NSM at
sertifikater utstedt under norsk lovgivning benyttes.

Hvordan var det nå med Let's Encrypt igjen?

Anbefalingen som er selvsagt bare bullshit - bruk en utsteder du stoler på og bruk CAA for det det er verdt.  Let's Encrypt er fint det, enten de opererer under norsk lov eller ikke.

Men egentlig er det jo tvilsom verdi i et tredjeparts sertifikat ifm epost uansett.  Det hadde vært nyttig med en diskusjon om bruk av DANE satt opp mot den operasjonelle risikoen ved å ha sertifkater som må fornyes til bestemte tider.  Som grundig demonstrert 🙂