MPIC – Wat is het en waarom zou het je moeten interesseren?

MPIC – Wat is het en waarom zou het je moeten interesseren?
28 mei ‘25

Introductie tot MPIC

Multi-Perspective Issuance Corroboration (MPIC) is een beveiligingsverbetering voor de uitgifte van digitale certificaten. Het vereist dat certificaatautoriteiten (CAs) domeinvalidatie en Certificate Authority Authorization (CAA) controles uitvoeren vanaf meerdere, geografisch en topologisch verschillende netwerklocaties in plaats van slechts één.

Deze aanpak is bedoeld om het risico van geavanceerde aanvallen te verminderen, met name Border Gateway Protocol (BGP) hijacking, welke traditionele validatiemethoden op één locatie kunnen manipuleren.

 

De noodzaak van MPIC  

Als IT-professional zou je om MPIC moeten geven, omdat het direct invloed heeft op de beveiliging en betrouwbaarheid van digitale certificaten die worden gebruikt voor het beveiligen van websites, e-mail en andere online diensten waarop je IT-infrastructuur vertrouwt.

MPIC maakt het aanzienlijk moeilijker voor aanvallers om netwerk-kwetsbaarheden, zoals BGP- of DNS-hijacking, te exploiteren om frauduleus certificaten te verkrijgen voor domeinen die zij niet beheersen. MPIC helpt man-in-the-middle-aanvallen, datalekken en verlies van vertrouwen in de digitale aanwezigheid van je organisatie te voorkomen.

Nu MPIC een industriestandaard wordt, zullen IT-teams hun infrastructuur en processen moeten afstemmen op deze nieuwe validatiestandaarden om compliant te blijven en dienstonderbrekingen te voorkomen.

MPIC beschermt de digitale activa van je organisatie, versterkt je beveiligingshouding en zorgt voor compliance met veranderende best practices in de industrie.

 

Aanpakken van werkelijke bedreigingen 

Onderzoek en praktijkvoorvallen hebben aangetoond dat aanvallers zwakke plekken in de routinginfrastructuur van het internet (BGP) kunnen uitbuiten om validatietraffic om te leiden, waardoor CAs potentieel certificaten aan ongeautoriseerde partijen kunnen uitgeven.

Deze bedreiging staat ook bekend als BGP-hijacking, prefix hijacking, route hijacking, of IP hijacking. Het is de illegitieme overname van groepen IP-adressen door internet routing tabellen te corrumperen met behulp van het Border Gateway Protocol (BGP).

72% van de domeinen was kwetsbaar voor BGP-subprefix hijacks, waardoor aanvallers validatietraffic konden omleiden en certificaatautoriteiten (CAs) konden misleiden om frauduleuze certificaten uit te geven.

70% van de domeinen was vatbaar voor same-prefix aanvallen, waardoor tegenstanders legitieme netwerken konden imiteren.

Alle top vijf CAs bleken kwetsbaar voor BGP-gebaseerde certificaatfraude voor mitigeringsmaatregelen, zoals aangetoond in ethische hacking experimenten.

 

Frequentie van BGP hijacking 

BGP-hijacking voorvallen komen met opmerkelijke frequentie voor en blijven een aanhoudende bedreiging voor wereldwijde internetbeveiliging. Recente data biedt een helder beeld van hoe vaak deze gebeurtenissen plaatsvinden:

  • Van eind 2015 tot midden 2017 detecteerde BGPStream wereldwijd 3.482 mogelijke hijacks, zoals geanalyseerd door Noction.
  • In 2018 meldde BGPMon 4.739 routing incidenten, waarvan veel BGP-hijacking betrof, gebaseerd op hun monitorplatform.
  • In 2020 documenteerde MANRS 2.477 BGP-hijacks met behulp van BGPStream data, en merkte een lichte stijging op vanaf 2019.
  • In 2021 noteerde MANRS 775 “mogelijke hijacks” geïdentificeerd door BGPStream collectoren, wat een vermindering in incidenten weerspiegelde vergeleken met 2020.

Deze statistieken geven aan dat BGP-hijacking geen zeldzame gebeurtenis is – incidenten gebeuren dagelijks, en treffen een breed scala aan organisaties, inclusief grote bedrijven zoals MasterCard, Amazon en Google, evenals nationale telecom operators. Het werkelijke aantal kan zelfs hoger zijn, aangezien sommige gebeurtenissen onopgemerkt of niet gerapporteerd blijven.

 

 

Industrie standaardisatie van MPIC

MPIC wordt gestandaardiseerd door het CA/Browser Forum (CABF) en wordt een vereiste voor publiek vertrouwde certificaatuitgifte, inclusief TLS en binnenkort S/MIME-certificaten.

Grote CAs zoals Let’s Encrypt en Google Trust Services hebben al vormen van MPIC geïmplementeerd, en handhaving door de industrie wordt verwacht tegen september 2025.

Het DNS Certificate Authority Authorization (CAA) record werd geïntroduceerd in 2013 om ongeautoriseerde certificaatuitgifte te helpen voorkomen en werd verplicht voor publieke CAs in september 2017. Dit record stelt domeineigenaren in staat om te specificeren welke CAs gemachtigd zijn om certificaten voor hun domeinen uit te geven, en helpt het risico van misbruik en Shadow IT te verminderen.

Als er geen CAA record bestaat voor een domein, mag elke publieke Certificate Authority certificaten uitgeven voor dat domein volgens de standaard domeinvalidatie zoals voorgeschreven door het CA/Browser Forum.

Als er echter een CAA-record aanwezig is, mogen alleen die Certificaatautoriteiten die expliciet in het record worden vermeld certificaten voor het domein uitgeven, wat een belangrijke laag van controle en beveiliging toevoegt.

 

Kenmerk Traditionele Validatie MPIC Validatie 
Validatie locatie Enkel netwerkpunt Meerdere, wereldwijd verspreide punten
Weerstand tegen aanvallen Kwetsbaar voor lokale BGP/DNS hijacks Bestand tegen lokale aanvallen
Industrievereiste Optioneel/legacy Wordt verplicht (CABF Ballot SC-067)
Certificaatuitgifte Gevolgd door eenmalige controle Vereist bevestiging van alle perspectieven

Samenvattingstabel: MPIC vs. Traditionele Validatie

 

De 3 belangrijkste functionaliteiten van MPIC 

Multi-Perspective Issuance Corroboration (MPIC) is een geavanceerd kader dat is ontworpen om de geldigheid en integriteit van informatie-uitwisseling over diverse platforms te verbeteren. De belangrijkste functionaliteiten van MPIC draaien om drie kerngebieden.

  1. GedistriBueerde Validatie (Distributed Validation)
    Wanneer een certificaatautoriteit (CA) een verzoek ontvangt om een certificaat uit te geven, moet het domeincontrole en CAA-records valideren door het domein te bevragen vanuit verschillende onafhankelijke, wereldwijd verspreide netwerkuitkijkpunten.
  2. Bevestiging (Corroboration)
    De resultaten van deze verschillende locaties worden vergeleken. Indien alle perspectieven consistente resultaten opleveren, verloopt de validatie. Indien er afwijkingen zijn – zoals sommige locaties die worden omgeleid of verschillende DNS-antwoorden ontvangen, kan dit wijzen op een aanval, en wordt de certificaatuitgifte onderbroken of gemarkeerd voor herziening.
  3. Vermindering van BGP-Aanvallen (Mitigation of BGP attacks)
    BGP-hijacks zijn vaak lokaal, beïnvloeden slechts een deel van het internet. Door te controleren vanuit meerdere regio’s maakt MPIC het veel moeilijker voor aanvallers om de CA te misleiden, aangezien een aanval wereldwijd in plaats van alleen lokaal succesvol zou moeten zijn.

 

Beveiligingsvoordelen van MPIC 

De implementatie van Multi-Perspective Issuance Corroboration (MPIC) brengt een reeks van robuuste beveiligingsvoordelen met zich mee die de integriteit van certificaatuitgifteprocessen aanzienlijk verbeteren. Door gebruik te maken van meerdere onafhankelijke netwerkperspectieven voor validatie, stelt MPIC een nieuwe standaard in certificaatbeveiliging die verschillende traditionele kwetsbaarheden bestrijdt terwijl het de algehele betrouwbaarheid van de publieke-sleutelinfrastructuur versterkt.

Aanvullende beveiligingsvoordelen:

  • Verbeterde Aanvaldetectie: Meerdere validatieperspectieven maken snellere identificatie van potentiële beveiligingsbedreigingen en anomalieën in het certificaatuitgifteproces mogelijk.
  • Verbeterde Betrouwbaarheid van Domeinvalidatie: De multi-perspectiefbenadering zorgt voor nauwkeurigere verificatie van domeineigendom door validatieresultaten over verschillende netwerkroutes te kruisverwijzen.
  • Verminderde Valse Positieven: Door validatieresultaten van meerdere bronnen te correleren, helpt MPIC valse beveiligingswaarschuwingen te minimaliseren en verbetert het de nauwkeurigheid van dreigingsdetectie.
  • Globale Consistentieverificatie: MPIC zorgt ervoor dat certificaatvalidatieresultaten consistent zijn over verschillende geografische locaties en netwerkarchitecturen, en voorkomt lokale manipulatiepogingen.
  • Versterkte CAA-controle: Verificatie van Certificate Authority Authorization (CAA)-records wordt betrouwbaarder door meerdere onafhankelijke bevestigingen, waardoor het risico van ongeautoriseerde certificaatuitgifte wordt verminderd.

 

Hoe MPIC werkt

Multi-Perspective Issuance Corroboration (MPIC) implementeert een geavanceerd validatieraamwerk dat gebruik maakt van meerdere netwerkuitkijkpunten om de beveiliging en authenticiteit van certificaatuitgifteprocessen te waarborgen. Deze gedistribueerde aanpak verbetert de betrouwbaarheid van domeinvalidatie aanzienlijk en helpt verschillende vormen van aanvallen op netwerkniveau te voorkomen.

Hier volgt een gedetailleerde uiteenzetting van hoe MPIC werkt:

1. Gedistribueerde Validatiecontroles

  • Wanneer een certificaat wordt aangevraagd, moet de Certificate Authority (CA) domeincontrole (Domain Control Validation, of DCV) verifiëren en Certificate Authority Authorization (CAA)-records controleren.
  • In plaats van deze controles vanaf één netwerklocatie uit te voeren, vereist MPIC dat de CA dezelfde validatie uitvoert vanaf meerdere, geografisch en topologisch verschillende punten op het internet.
  • Deze locaties zijn vaak verspreid over verschillende regio’s en Internet Service Providers (ISPs), waardoor het voor een aanvaller veel moeilijker wordt om alle perspectieven tegelijk te manipuleren.

2. Bevestiging van Resultaten

  • Elk extern perspectief voert onafhankelijk de vereiste DCV- en CAA-controles uit.
  • De CA vergelijkt de resultaten van alle perspectieven. Voor succesvolle validatie is een quorum (minimumaantal) van positieve, overeenkomende responses vereist.
  • Als een perspectief niet kan valideren, of als er afwijkingen zijn (bijvoorbeeld verschillende DNS-records), zal de CA het certificaat niet uitgeven.

3. Netwerkperspectief Vereisten

  • Elk netwerkperspectief moet topologisch onderscheidend en onafhankelijk beheerd zijn.
  • Perspectieven moeten verdeeld zijn over verschillende autonome systemen (AS) en netwerkproviders.
  • De validatie-infrastructuur moet zorgen voor correcte scheiding tussen verschillende perspectieven om gemeenschappelijke fouten te voorkomen.

4. Validatieproces Vereisten

  • Alle perspectieven moeten hun controles binnen een bepaalde tijd afronden.
  • De CA moet gedetailleerde logs bijhouden van alle perspectief-validaties.
  • Als een perspectief anomalieën detecteert in DNS-records of CAA-controles, moet het hele validatieproces opnieuw worden gestart.
  • Het systeem moet ervoor zorgen dat gecachete resultaten niet worden hergebruikt voor verschillende validatiepogingen.

5. Foutafhandeling en Rapportage

  • Alle verschillen tussen perspectief-resultaten moeten worden gedocumenteerd en geanalyseerd.
  • De CA moet monitoringsystemen implementeren om patronen van validatiefouten te detecteren.
  • Mislukte validaties moeten via geschikte kanalen worden gerapporteerd voor beveiligingsanalyse.
  • Hertryprocedures moeten worden geïmplementeerd met passende afkoelperiodes.

 

Ondersteunde Validatiemethoden

Domain Control Validation (DCV) is een kritieke component van het certificaatuitgifteproces, en MPIC verbetert de beveiliging van deze validaties door zijn multi-perspectief benadering toe te passen op alle standaard validatiemethoden. Door MPIC te implementeren over verschillende DCV-methoden, zorgen Certificate Authorities voor consistente en betrouwbare validatie, ongeacht de gekozen verificatietechniek.

MPIC is van toepassing op alle belangrijke DCV-methoden, waaronder:

  • HTTP-gebaseerde DCV (controle van een bestand op je website)
  • DNS-gebaseerde DCV (controle van DNS-records)
  • E-mail-gebaseerde DCV
  • ACME “http-01” en “dns-01” challenges
  • CAA record controles
  • TLS-gebaseerde DCV (TLS-ALPN-01 validatie)
  • Overeengekomen wijziging aan website (Constructed Email to Domain Contact)

 

Dit zijn allemaal veelgebruikte validatiemethoden die onderhevig zijn aan MPIC-vereisten. Elke van deze methoden profiteert van de extra beveiligingslaag die multi-perspectief validatie biedt.

 

Implementatie Tijdlijn

De adoptie van MPIC volgt een gefaseerde implementatie tijdlijn, vastgesteld door het CA/Browser Forum en belangrijke browser-leveranciers:

Rapportagefase (januari 2024 – maart 2025):

  • MPIC draait in passieve monitoringmodus, waarbij CAs validatieafwijkingen moeten loggen maar uitgifte niet blokkeren.
  • Let’s Encrypt begon vroege implementatie in 2020 als proof-of-concept.

Handhavingsfase (31 maart 2025 – doorlopend):

  • Na Google’s verplichte deadline vereisen certificaten MPIC-validatie van ≥3 onafhankelijke netwerkperspectieven.
  • Volledige handhaving (≥5 perspectieven) gaat in op 15 september 2025.

Overgangsperiode:

  • CAs mogen niet-conforme certificaten uitgeven voor ≤5% van het totale volume tot juni 2026 om legacy systemen te ondersteunen.

 

 

ACME Protocol en CAA Validatie

Het ACME-protocol, gebruikt door agents zoals Certbot en WinACME voor geautomatiseerde certificaatuitgifte, raadpleegt altijd het DNS CAA-record voor het aanvragen van certificaten. Dit geldt ongeacht of de Certificate Authority publiek of privaat is.

Wanneer certificaten via ACME worden aangevraagd bij een private CA, moet de hostnaam of fully qualified domain name (FQDN) van de CA worden opgenomen in het CAA-record van het domein. Dit zorgt ervoor dat private CAs ook voldoen aan CAA-autorisatiebeleid, wat ongeautoriseerde certificaatuitgifte voorkomt.

 

Nalevingstermijnen en Sectorbrede Adoptie
 

Dit gedeelte beschrijft de kritieke deadlines voor naleving van de MPIC-standaarden (Multi-Perspective Issuance Corroboration) en de adoptiestrategie van de sector.

  • TLS-certificaten: MPIC werd verplicht voor publiek vertrouwde TLS-certificaten op 15 maart 2025, conform CA/Browser Forum Ballot SC-067.
  • S/MIME-certificaten: Ballot SMC-067 breidt MPIC uit naar S/MIME-validatie, met een deadlinedatum van 15 mei 2025.
  • Handhavingsfasen:
    • Rapportage-Only Modus (18 februari 2025): CAs zoals Sectigo begonnen met testen van MPIC zonder uitgifte te blokkeren.
    • Volledige Handhaving (15 september 2025): Certificaten worden alleen uitgegeven als minimaal 5 externe validatiecontroles slagen.
      Vanaf september 2025 is MPIC vereist voor alle publiek vertrouwde TLS-certificaten, gevolgd door S/MIME.

MPIC vormt een belangrijke stap in het beveiligen van certificaatuitgifte tegen moderne netwerkbedreigingen.

 

Technische Vereisten

  • Validatieperspectieven:
    • Initiële tests gebruiken 2 externe netwerklocaties, schaalbaar naar 6 perspectieven tijdens handhaving.
    • Definitieve validatie vereist 5 consistente resultaten om een certificaat uit te geven.
  • Toepassing: Van toepassing op alle belangrijke validatiemethoden (HTTP, DNS, e-mailgebaseerde DCV, ACME “http-01″/”dns-01”).

 

Impact op Organisaties

  • Voorbereiding: Bedrijven moeten zorgen dat hun DNS-, HTTP- en e-mailsystemen toegankelijk zijn vanuit diverse wereldwijde netwerken om validatiefouten te voorkomen.
  • Geen retroactieve wijzigingen: Certificaten uitgegeven vóór 18 februari 2025 blijven geldig tot hun expiratiedatum.

 

Toekomstige Ontwikkelingen

  • Standaardisatie: MPIC wordt verankerd in CA/Browser Forum-richtlijnen, met updates voor nieuwe bedreigingen.
  • Brede Toepassing: Naast TLS en S/MIME kan het MPIC-raamwerk ook andere PKI-afhankelijke systemen beveiligen (bijv. IoT, code signing).

 

 

Belangrijkste Conclusie: MPIC is niet alleen een technische upgrade, maar een systemische wijziging in certificaatbeveiliging. IT-teams moeten proactief aanpassen om naleving te behouden en geavanceerde netwerkaanvallen te voorkomen.

 

DNS-Synchronisatie en Impact op Certificaatuitgifte

Het is cruciaal dat alle publiek toegankelijke DNS-servers van een organisatie correct gesynchroniseerd zijn. Zonder strikte synchronisatie kunnen certificaataanvragen vanaf september 2025 falen vanwege MPIC-vereisten.

  • Risico’s:
    • Verschillen in DNS-gegevens (zoals CAA-records en validatie-DNS-entries) tussen servers kunnen de certificaatuitgifte verstoren.
    • Organisaties moeten zorgen voor consistente DNS-records wereldwijd, met lage TTL-waarden (Time To Live).

Aanbevelingen:

  • Gebruik een TTL van ≤300 seconden (5 minuten) om propagatievertragingen te minimaliseren.
  • Zorg voor identieke DNS-records in alle regio’s (bijv. Europa en Azië) voor consistente validatie tijdens multi-perspectief controles.

Voorbeeld:
Een DNS-record voor domain.com moet in alle regio’s identiek zijn om consistentie te garanderen.

Gevolgen van desynchronisatie:

  • Certificaatautoriteiten (zoals DigiCert en GlobalSign) kunnen aanvragen afwijzen als multi-perspectief validaties verschillen detecteren.
  • Systemen zoals KeyTalk CKMS (die certificaten aanvragen via publieke CAs) moeten ook voldoen aan MPIC en DNS-synchronisatievereisten.

Waarschuwing:
Organisaties met gedistribueerde DNS-servers moeten CAA-records en validatie-entries realtime synchroniseren om uitgifteproblemen te voorkomen.

 

Samenvatting

In deze blogpost hebben we een diepgaand overzicht gegeven van Multi-Perspective Issuance Corroboration (MPIC), een aankomende standaard voor de uitgifte van digitale certificaten, ontworpen om de beveiliging tegen geavanceerde aanvallen op netwerkniveau zoals BGP-hijacking te verbeteren.

De belangrijkste punten zijn:

  • Doel: MPIC streeft ernaar de integriteit en beveiliging van certificaatuitgifteprocessen te verbeteren door validatie te vereisen vanuit meerdere, geografisch verspreide netwerkperspectieven, waardoor risico’s van routeringsaanvallen worden beperkt.
  • Voordelen: De implementatie van MPIC verbetert aanvaldetectie, verhoogt de betrouwbaarheid van domeinvalidatie, vermindert valse positieven, en versterkt globale consistentieverificatie en Certificate Authority Authorization (CAA)-controles.
  • Technische Implementatie: MPIC vereist dat Certificate Authorities gedistribueerde validatiecontroles gebruiken, resultaten vergelijken over verschillende netwerkuitkijkpunten, en voldoen aan strikte orkestratie- en foutafhandelingsvereisten.
  • Industrie-adoptie: Grote Certificate Authorities maken de overgang naar MPIC-compliance, met handhavingsdeadlines gepland voor 2025. Organisaties moeten ervoor zorgen dat hun systemen aanpasbaar zijn aan deze veranderingen om dienstonderbrekingen te voorkomen en compliant te blijven.

 

Conclusie: MPIC vertegenwoordigt een fundamentele verschuiving in digitale certificaatbeveiliging. IT-teams en organisaties moeten hun systemen proactief aanpassen om MPIC-standaarden te integreren, zodat robuuste bescherming tegen opkomende beveiligingsdreigingen wordt gegarandeerd en wordt voldaan aan de beste praktijken in de sector.

 

Wilt u meer weten over hoe KeyTalk uw organisatie kan helpen met MPIC? Neem contact met ons op en we bespreken de uitdagingen en mogelijke oplossingen.

Het KeyTalk Team