1
Vraag
2
Reageer en help mee
PKoster

Raadgever
  • 31Posts
  • 1Oplossingen
  • 13Likes

Ziggo Public RootCA - G1

Ziggo gebruikt als onderdeel van de Wifispots een eigen root certificaat, genaamd 'Ziggo Public RootCA - G1'. Klanten worden geïnstrueerd deze op Windows apparaten te installeren bij de vertrouwde root certificaten.

 

Zo te zien wordt bij de Wifispots instructies voor Android en ChromeOS aangegeven het vertrouwen te beperken tot wifi verbindingen.

 

Omdat de set aan vertrouwde root certificaten de basis is voor alle beveiligingscontroles op het gebruikersapparaat, is het gevolg van de instructie (voor Windows) dat dit certificaat vertrouwd wordt voor alle doeleinden. Voor elk netwerk. Voor elke verbinding. Voor elke website. Voor elke dienst. Voor elke applicatie.

 

Indien de private sleutel lekt is de impact niet beperkt tot afluisteren van Wifispots, maar wordt het ook mogelijk om de encryptie van het verkeer daarover te onderscheppen. Bij nabije Wifispots gebruikers zouden man-in-the-middle methodes toegepast kunnen worden - zoals de inhoud waar nemen van communicatie met internet sites, het registreren van daar gebruikte wachtwoorden, het kunnen manipuleren van downloads met malware, het manipuleren van banktransacties, etc. Hedendaagse public key pinning controles (via SCT) worden in deze context ook niet uitgevoerd.

 

Nu verwacht ik dat Ziggo hier niet onzorgvuldig mee is, maar is er bekend of Ziggo voor deze root CA over een WebTrust of ETSI audit rapport beschikt, of in ieder geval een equivalente audit alleen op het vlak van de bescherming van de private sleutels geassocieerd aan deze root?

5 Reacties 5
EnergieBoy
Super Expert
Super Expert
  • 11019Posts
  • 558Oplossingen
  • 3061Likes

Hi @PKoster 
Oh jee, je bericht is al van 3 weken terug.
Heb je hierop al antwoord gekregen? Beetje lastig als dat niet zo is, daarom vraag ik het nu nog even aan je, dan merken ze deze topic ook op bij de Ziggo medewerkers. Mocht je inmiddels wel al antwoord hebben gehad, laat het dan ook weten. Anders, nog even geduld aub 😉

Jiri
Community Moderator
Community Moderator
  • 1615Posts
  • 189Oplossingen
  • 472Likes

Hi @PKoster

Ik ben het met @EnergieBoy eens dat het niet zo netjes is dat je geen antwoord ontvangen hebt hierover. Dat had op zijn minst wel gemogen. 

Heel eerlijk gezegd heb ik geen kaas gegeten van de certificaten en ik heb dan ook geen idee of deze over een WebTrust of ETSI audit rapport beschikt.  Ik heb dit intern uitgezet. 
Zodra ik hierop reactie krijg, laat ik het je uiteraard weten. 

Jamyla
Community Moderator
Community Moderator
  • 2589Posts
  • 312Oplossingen
  • 646Likes

Goedemorgen @PKoster

 

Ik kan me voorstellen dat je al een tijdje in spanning afwacht op antwoord. Helaas hebben we nog geen update/antwoord. We hebben inmiddels wel de verantwoordelijke collega's hiervoor gevonden, en de vraag staat uit bij hen. We houden je op de hoogte 🙂

PKoster
topicstarter
Raadgever
  • 31Posts
  • 1Oplossingen
  • 13Likes

Geen probleem, ik besef dat het een mogelijk uitdagende vraag is.

Madelon
Community Moderator
Community Moderator
  • 415Posts
  • 45Oplossingen
  • 153Likes

Hi @ PKoster, 

Wat vreselijk stom dat dit zo lang heeft moeten duren, sorry dat we zo'n groot beroep op jouw geduld hebben moeten doen! 

Het antwoord wat we hebben mogen ontvangen op de vraag luidt als volgt;

"We nemen beveiliging zeer serieus en onze beveiligingstools worden continu bijgewerkt met de nieuwste informatie. Vanuit beveiligingsperspectief doen we geen uitspraken over de bescherming van onze private sleutels. Wel kunnen we aangeven dat we altijd de meest effectieve werkwijzen in de industrie volgen op het gebied van informatiebeveiliging"

Helaas kunnen we niet meer informatie geven dan dit.

E-mail notificaties
Aan Uit

Ontvang een update bij nieuwe reacties in dit topic.

Uitgelicht topic