Google zegt vertrouwen op in certificaten Chinese CA CNNIC
Vanwege een recent incident met onterecht uitgegeven SSL-certificaten voor Google-websites heeft Google het vertrouwen in de Chinese certificaatautoriteit (CA) CNNIC opgezegd, waardoor Google-producten zoals Chrome de certificaten van CNNIC niet meer zullen erkennen. Iets wat via een toekomstige update voor Chrome zal worden doorgevoerd. Aangezien dit zeer grote gevolgen voor met name Chinese Chrome-gebruikers zal hebben heeft Google besloten om de onder CNNIC uitgegeven SSL-certificaten tijdelijk nog toe te staan door ze op een publieke whitelist te plaatsen.
Aanleiding voor de maatregel is de recente ontdekking van malafide SSL-certificaten voor verschillende Google-domeinen, die door het Egyptische bedrijf MCS Holding waren aangemaakt. Het bedrijf had hiervoor de mogelijkheid gekregen van CNNIC, dat een root CA is. Als root CA wordt CNNIC door alle grote browsers vertrouwd. CNNIC had een intermediate certificaat voor MCS Holding uitgegeven, waarmee het bedrijf voor willekeurige domeinen SSL-certificaten kon aanmaken. Omdat het intermediate certificaat van CNNIC afkomstig was, werden deze aangemaakt SSL-certificaten ook door browsers vertrouwd.
Volgens MCS Holding zorgde een menselijke fout ervoor dat het bestaan van de malafide Google-certificaten werd ontdekt. Google, Microsoft en Mozilla besloten daarom deze certificaten te blokkeren. Daarbij werd het CNNIC zwaar aangerekend dat het MCS Holding een intermedia certificaat had gegeven, waarmee het Chinese bedrijf allerlei regels had overtreden. Na verder onderzoek heeft Google nu besloten om het vertrouwen in CNNIC helemaal op te zeggen.
Certificate Transparency
Google stelt in een verklaring dat het denkt dat er geen andere ongeautoriseerde SSL-certificaten zijn uitgegeven, of dat de malafide Google-certificaten buiten de testomgeving van MCS Holding zijn gebruikt. Wat betreft de Chinese certificaatautoriteit moet die van Google eerst "Certificate Transparency" implementeren voordat een eventueel verzoek over het opnieuw vertrouwen van CNNIC wordt overwogen.
Certificate Transparency is een door Google ontwikkelde technologie en is bedoeld om verschillende structurele fouten in het SSL-certificaatsysteem te verhelpen. Daardoor moeten onterecht uitgegeven en malafide SSL-certificaten eerder worden ontdekt. Ook Mozilla heeft besloten om Certificate Transparency te ondersteunen.
Update
CNNIC noemt de beslissing van Google onacceptabel en onverstandig. De Chinese CA roept Google dan ook op om de belangen en rechten van gebruikers in overweging te nemen. Aan klanten laat CNNIC weten dat hun rechten en belangen niet in het geding zullen komen.
Uiteraard. Maar de wereld noemt te beslissing om een signing certificaat te verstrekken aan een klant onacceptabel
en onverstandig.
Zoals men bij Diginotar al weet kun je vertrouwen niet afdwingen. Als je het schendt dan ben je weg en kun je niet meer
gaan roepen "er vertrouwen zoveel mensen op ons, vertrouw ons aub!".
Ben benieuwd of Google het zelfde doet als het binnenkort Comodo of nog heftiger Verisign is.
Google noemt ze in hun verklaring ook niet malicious, maar gebruikt woorden als unauthorized en misissued.
Google noemt ze in hun verklaring ook niet malicious, maar gebruikt woorden als unauthorized en misissued.
Intermediate CA certificaten mag je NOOIT zomaar uitgeven. Die moeten op een HSM worden geplaatst waar de key niet uit kan worden gehaald. Dit is blijkbaar hierbij totaal niet gedaan. Dan ga je tegen de regels in en vlieg je er uit.
Google noemt ze in hun verklaring ook niet malicious, maar gebruikt woorden als unauthorized en misissued.
Ik ben van mening dat het wel malafide is, anders hadden ze zelf het certificaat terug kunnen trekken, wat ze niet deden. Mensenlijke fout, lijkt mij dat je bewust zoiets uitgeeft, en niet perongeluk. Partijen die dit doen, mogen per direct een ban krijgen. Procedures zijn niet op orde, zorgen voor "nog onveiliger internet". Tevens is het niet de eerste keer dan CNNIC CA de fout in gaat. Is al meerdere keren gebeurd. Ze werden als veilig gezien in 2010 door de browsers, in 2013 zijn ze de eerste keer de fout in gegaan, en begin 2014 nogmaals. En nu dit bericht. 3striks vind ik in dit geval nog steeds te veel, aangezien miljoenen mensen de dupe zijn geworden.
Hele goede keus van Google, Microsoft en Firefox, uiteindelijke doel, een stukje veiliger internet.
Ik hoop dat er meer van dergelijke menselijke fouten worden gemaakt.
Peter
Incompetentie is voldoende om uitgesloten te worden. Immers het hele systeem drijft (nog een beetje) op het feit dat alle
uitgevers competent zijn. 1 incompetente uitgever laat het hele systeem instorten. Dat mag niet gebeuren.
Google noemt ze in hun verklaring ook niet malicious, maar gebruikt woorden als unauthorized en misissued.
Wel degelijk. Ze wisten dat ze waren gehackt. En maakten er geen melding van, en deden er niks mee. Ja, het bewijs vernietigen. Dat is wel degelijk kwaadaardig.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
