image

Firefox gaat Google's aanvulling op SSL ondersteunen

donderdag 11 december 2014, 14:13 door Redactie, 4 reacties

Om Firefoxgebruikers tegen frauduleuze SSL-certificaten te beschermen gaat Mozilla Certificaattransparantie (CT) aan Firefox toevoegen. CT is een door Google ontwikkelde technologie en is bedoeld om verschillende structurele fouten in het SSL-certificaatsysteem te verhelpen.

SSL-certificaten worden onder andere gebruikt voor het identificeren van websites en versleutelen van gegevens die tussen websites en bezoekers worden uitgewisseld. Het SSL-systeem is niet waterdicht. Zo vormen onterecht uitgegeven SSL-certificaten een groot risico voor gebruikers, aldus Mozilla. Ook bestaat het risico dat aanvallers bij certificaatautoriteiten frauduleuze certificaten genereren. Door middel van certificaattransparantie is het mogelijk om deze certificaten te detecteren.

In het CT-ecosysteem verplichten browsers dat een beveiligde website bewijs aanlevert dat het certificaat in een publieke CT-log voorkomt. Een CT-log is een eenvoudige netwerkdienst die een archief van SSL-certificaten bijhoudt. Certificaten kunnen alleen aan dit log worden toegevoegd en niet worden verwijderd of aangepast. Ze gebruiken verder een cryptografische methode om manipulatie te voorkomen en kunnen door het publiek worden gecontroleerd.

Ondersteuning

Het idee is dat als voldoende browsers verplichten dat een certificaat in een CT-log voorkomt, dit zowel websites als certificaatautoriteiten aanmoedigt om dit ook te realiseren. Google heeft al aangekondigd dat het in de nabije toekomst voor alle EV SSL-certificaten CT gaat verplichten. Met hulp van Google is Mozilla nu van plan om code aan Firefox toe te voegen die bij het opzetten van een versleutelde verbinding naar de CT-informatie kijkt. De maatregel zal echter standaard zijn uitgeschakeld en gebruikers moeten die zelf inschakelen.

Op deze manier kunnen "early adopters" met de technologie experimenteren en krijgt Mozilla informatie die het kan gebruiken voordat de uiteindelijke versie van het CT-protocol wordt geïmplementeerd. Deze versie zal eerst nog door de Internet Engineering Task Force (IETF) worden opgesteld. Ook zal de informatie Mozilla laten zien hoe goed CT in het echt werkt. Op deze manier kan de browserontwikkelaar sneller reageren als het CT wil binnen Firefox wil verplichten. Het kan de maatregel echter ook verwijderen als die niet blijkt te werken.

Reacties (4)
11-12-2014, 15:00 door Anoniem
Nog een reden waarom ineens allerlei websites het niet meer doen. En het blijft oplapwerk op oplapwerk stapelen.
11-12-2014, 17:10 door Anoniem
Door Anoniem: Nog een reden waarom ineens allerlei websites het niet meer doen. En het blijft oplapwerk op oplapwerk stapelen.

Volgen jaar, 2015, is "Mozilla van plan om code aan Firefox toe te voegen", die je dan zelf ook nog eens aan moet zetten.

U zegt last te hebben van code die nog niet eens geïmplementeerd is. Dit is dus een wonder. Vertel eens meer over uzelf...
11-12-2014, 19:43 door Anoniem
Laat ze maar eens opschieten met het ondersteuniondersteunen van TLSA.
12-12-2014, 14:56 door Anoniem
TLSA is afhankelijk van DANE en DNSSEC.

Het lijkt er sterk op dat geen enkele browser DNSSEC gaat ondersteunen op de korte termijn.

Op het moment dat ze DNSSEC willen gebruiken voor HTTPS zal DNSSEC-validatie vanuit de browser 100% van de tijd moeten werken.

Zo zijn er bijvoorbeld DSL-routers of sommige DNS-servers bij provider die DNSSEC niet goed doorlaten. En alleen daarom al zal het niet snel gebeuren.

Daarentegen DNSSEC validatie bij de ISP zie je op dit moment wel steeds meer. Bijvoorbeeld voor DANE voor SMTP, zodat goede TLS/SSL kan worden gebruikt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.