Computerbeveiliging - Hoe je bad guys buiten de deur houdt

https://anonbox.net/ + certificaten?

06-01-2012, 15:32 door Anoniem, 6 reacties
Hoi,

Als ik anonbox bezoek krijg ik een waarschuwing: This Connection is Untrusted
Technical Details
anonbox.net uses an invalid security certificate.
The certificate is not trusted because the issuer certificate is not trusted.
(Error code: sec_error_untrusted_issuer)


Volgens mij is deze site opgezet door het CCC.

Deze hebben privacy hoog in het vaandel, maar volgens mij laten ze hier een steekje vallen door het certificaat niet te laten verlengen.

Klopt mijn verhaal of heb ik het mis??

Lijkt me wel een blunder mocht ik het juist hebben toch?
Reacties (6)
06-01-2012, 16:34 door 0101
Deze site maakt gebruik van een certificaat van de alternatieve CA CAcert, welke niet standaard in de lijst met vertrouwde certificaten van Firefox staat.
http://www.cacert.org/

Hoe je dit zelf had kunnen uitzoeken:
1. Klik op "Ik begrijp de risico's" http://img513.imageshack.us/img513/1838/nietbeveiligdeverbindin.png
2. Klik op "Uitzondering toevoegen" http://img440.imageshack.us/img440/8527/uitzonderingtoevoegen20.png
3. Klik op de knop "Weergeven" http://img440.imageshack.us/img440/7296/weergevenknop.png
4. Bij "Uitgegeven door" staat de uitgever van het certificaat vermeld. http://img502.imageshack.us/img502/650/cacert.png
5. Google op "CAcert" http://lmgtfy.com/?q=CAcert
6. Klik op het Wikipedia-artikel (5e resultaat) https://en.wikipedia.org/wiki/CAcert.org#Inclusion_status
06-01-2012, 18:58 door Anoniem
Door 0101: Deze site maakt gebruik van een certificaat van de alternatieve CA CAcert, welke niet standaard in de lijst met vertrouwde certificaten van Firefox staat.
http://www.cacert.org/

Hoe je dit zelf had kunnen uitzoeken:
1. Klik op "Ik begrijp de risico's" http://img513.imageshack.us/img513/1838/nietbeveiligdeverbindin.png
2. Klik op "Uitzondering toevoegen" http://img440.imageshack.us/img440/8527/uitzonderingtoevoegen20.png
3. Klik op de knop "Weergeven" http://img440.imageshack.us/img440/7296/weergevenknop.png
4. Bij "Uitgegeven door" staat de uitgever van het certificaat vermeld. http://img502.imageshack.us/img502/650/cacert.png
5. Google op "CAcert" http://lmgtfy.com/?q=CAcert
6. Klik op het Wikipedia-artikel (5e resultaat) https://en.wikipedia.org/wiki/CAcert.org#Inclusion_status


Bovenstaande snap ik wel, echter wat ik niet begrijp is dat een "hackersgroep" die strijd voor openbaarheid, en privacy c.q.
zelf niet toeziet dat deze certificaten up-to-date zijn of worden gehouden.

Ook bij de anonbox moet men wel kunnen uitgaan dat derden de gegevens niet kunnen opvangen.
En volgens mij is dat nu jiet het geval.

Of zie ik het nog steeds fout?

bedankt
08-01-2012, 15:06 door Anoniem
De certificaten van CAcert.org zijn net zo veilig of onveilig als die van een andere certificate authority (CA).

Een groot verschil is dat andere CA's zijn te verdelen in commericiele CA's, overheids CA's of combinaties daarvan. CAcert probeert in ieder geval onafhankelijk te zijn van financiele (aandeelhouders) of politieke invloeden.

Verder zou je eigenlijk van alle 600+ CA's die standaard door je browser vertrouwd worden het Certificate Practice Statement (CPS) moeten lezen, om dan zelf te beslissen of je die CA vertrouwd.
Veel mensen die daar over nagedacht hebben vertrouwen maar weinig CA's. De beheerders van CCC bijvoorbeeld van hebben dat gedaan en besloten dat CAcert een goed oplossing voor hun is.
08-01-2012, 15:38 door Anoniem
Aanvullend daarop:
De reden dat CaCert certificaten nog niet in de standaard browsers zijn opgenomen ligt aan het feit dat CaCert zeer hoge eisen aan zichzelf stelt (moet stellen!) en zichzelf bij de grote browsers heeft terug getrokken. Dat is geen teken van zwakte, maar een teken van kracht.
Een CA dient te allen tijde te kunnen worden vertrouwd.
In dat opzicht is CaCert Roomser dan de Paus, met goede redenen:
Men wil open source certificaten niet te grabbel gooien en het risico lopen geidentificeerd te worden met de negatieve kanten (diginotar, comodo, etc) van certificeren en het beheer van certificaten.
08-01-2012, 15:58 door jefdom
als ik op skijnet.be voor mijn mailing ga krijg ik idem ditto dezelfde melding,ik heb de helpdesk hiervan op de hoog
te gebracht en hun reactie was,verwijder de tempotary files en alles is ok want die certificaten zijn toch maar coocies??????????????????zal het zelf maar oplossen zeker groetjes jefdom
09-01-2012, 15:47 door 0101
Door Anoniem: Bovenstaande snap ik wel, echter wat ik niet begrijp is dat een "hackersgroep" die strijd voor openbaarheid, en privacy c.q.
zelf niet toeziet dat deze certificaten up-to-date zijn of worden gehouden.
Het certificaat is niet verlopen, kijk maar naar de datum. Het punt is dat het root certificaat waarmee dit certificaat gesigneerd is handmatig moet worden geïmporteerd in de browser. Je kunt dit doen via http://www.cacert.org/index.php?id=3. Klik op de links met "(PEM format)" erachter en selecteer dat het gebruikt mag worden om websites te identificeren.
Als alternatief kun je natuurlijk ook anonbox.net als uitzondering toevoegen, wanneer je geen behoefte hebt aan nog een extra CA bovenop de vijfhonderd-en-nog-wat die je browser standaard al vertrouwt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.