Firefox gaat Google's aanvulling op SSL ondersteunen
Om Firefoxgebruikers tegen frauduleuze SSL-certificaten te beschermen gaat Mozilla Certificaattransparantie (CT) aan Firefox toevoegen. CT is een door Google ontwikkelde technologie en is bedoeld om verschillende structurele fouten in het SSL-certificaatsysteem te verhelpen.
SSL-certificaten worden onder andere gebruikt voor het identificeren van websites en versleutelen van gegevens die tussen websites en bezoekers worden uitgewisseld. Het SSL-systeem is niet waterdicht. Zo vormen onterecht uitgegeven SSL-certificaten een groot risico voor gebruikers, aldus Mozilla. Ook bestaat het risico dat aanvallers bij certificaatautoriteiten frauduleuze certificaten genereren. Door middel van certificaattransparantie is het mogelijk om deze certificaten te detecteren.
In het CT-ecosysteem verplichten browsers dat een beveiligde website bewijs aanlevert dat het certificaat in een publieke CT-log voorkomt. Een CT-log is een eenvoudige netwerkdienst die een archief van SSL-certificaten bijhoudt. Certificaten kunnen alleen aan dit log worden toegevoegd en niet worden verwijderd of aangepast. Ze gebruiken verder een cryptografische methode om manipulatie te voorkomen en kunnen door het publiek worden gecontroleerd.
Ondersteuning
Het idee is dat als voldoende browsers verplichten dat een certificaat in een CT-log voorkomt, dit zowel websites als certificaatautoriteiten aanmoedigt om dit ook te realiseren. Google heeft al aangekondigd dat het in de nabije toekomst voor alle EV SSL-certificaten CT gaat verplichten. Met hulp van Google is Mozilla nu van plan om code aan Firefox toe te voegen die bij het opzetten van een versleutelde verbinding naar de CT-informatie kijkt. De maatregel zal echter standaard zijn uitgeschakeld en gebruikers moeten die zelf inschakelen.
Op deze manier kunnen "early adopters" met de technologie experimenteren en krijgt Mozilla informatie die het kan gebruiken voordat de uiteindelijke versie van het CT-protocol wordt geïmplementeerd. Deze versie zal eerst nog door de Internet Engineering Task Force (IETF) worden opgesteld. Ook zal de informatie Mozilla laten zien hoe goed CT in het echt werkt. Op deze manier kan de browserontwikkelaar sneller reageren als het CT wil binnen Firefox wil verplichten. Het kan de maatregel echter ook verwijderen als die niet blijkt te werken.
Volgen jaar, 2015, is "Mozilla van plan om code aan Firefox toe te voegen", die je dan zelf ook nog eens aan moet zetten.
U zegt last te hebben van code die nog niet eens geïmplementeerd is. Dit is dus een wonder. Vertel eens meer over uzelf...
Het lijkt er sterk op dat geen enkele browser DNSSEC gaat ondersteunen op de korte termijn.
Op het moment dat ze DNSSEC willen gebruiken voor HTTPS zal DNSSEC-validatie vanuit de browser 100% van de tijd moeten werken.
Zo zijn er bijvoorbeld DSL-routers of sommige DNS-servers bij provider die DNSSEC niet goed doorlaten. En alleen daarom al zal het niet snel gebeuren.
Daarentegen DNSSEC validatie bij de ISP zie je op dit moment wel steeds meer. Bijvoorbeeld voor DANE voor SMTP, zodat goede TLS/SSL kan worden gebruikt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
