Google straft Symantec wegens geknoei met SSL-certificaten
Google heeft Symantec gestraft omdat het bedrijf heeft geknoeid met SSL-certificaten, die juist zo belangrijk zijn voor het vertrouwen op internet. In september ontdekte Google dat Symantec ten onrechte een Extended Validation (EV) pre-certificaat voor google.com en www.google.com had uitgegeven.
Dit was gebeurd zonder dat Google hierom had gevraagd of hier toestemming voor had gegeven. Naast beveiligingsdiensten levert Symantec ook SSL-certificaten, bedoeld voor het identificeren van websites en het versleutelen van verkeer tussen websites en bezoekers. Hiervoor heeft het verschillende merken, zoals VeriSign, GeoTrust, Thawte en RapidSSL. Al een aantal jaren is Symantec de grootste speler op de markt van SSL-certificaten. Vanwege de onterechte uitgifte van de certificaten besloot Symantec verschillende werknemers te ontslaan.
Tevens vroeg Google om een onderzoeksrapport. Uit het rapport (pdf) kwam naar voren dat er 23 testcertificaten van 5 organisaties zonder hun medeweten waren uitgegeven, waaronder voor domeinen van Google en Opera. Google ontdekte echter nog meer dubieuze certificaten en vroeg Symantec om opheldering. Symantec voerde opnieuw een onderzoek uit en ontdekte dat er nog eens 164 certificaten voor 76 domeinen waren uitgegeven, alsmede 2458 certificaten voor domeinen die nooit zijn geregistreerd.
Maatregelen
Volgens Google is het zorgwekkend dat een certificaatautoriteit met zoveel problemen heeft te maken en de omvang niet eens tijdens het eerste onderzoek kon vaststellen. Daarom gaat Google scherperse eisen aan de certificaten van Symantec stellen. Vanaf 1 juni 2016 moeten alle certificaten van het beveiligingsbedrijf Certificate Transparency ondersteunen. Dit is een door Google zelf ontwikkelde technologie die verschillende structurele fouten in het SSL-certificaatsysteem moet verhelpen. Certificaten die na deze datum worden uitgegeven en hier niet aan voldoen kunnen voor problemen binnen Google-producten zorgen.
Verder vraagt Google dat het openbare onderzoeksrapport over het incident wordt uitgebreid met een analyse waarom de 164 aanvullende certificaten niet in eerste instantie werden gevonden en wat de oorzaak van elke misser was. Verder wil Google ook een uitgebreid rapport over de maatregelen die Symantec gaat nemen om de gevonden fouten te verhelpen en in de toekomst te voorkomen. Als laatste moet het beveiligingsbedrijf ook nog een uitgebreide audit door een derde partij laten uitvoeren.
dat hele gecommercialiseer van internet op veel punten zal het vertrouwen niet helpen, en zonder vertrouwen is het business model van Symantec alleen nog maar gestoeld op de norton antivirus afdeling en daar is geen droog brood mee te verdienen.
met andere woorden, Symantec schiet zichzelf in de voet en gaat het wapen herladen...
Ik weet niet of Google dat zelf ook zo ziet. In de genoemde maatregelen zie ik vooral dat Google strengere voorwaarden aan Symantec stelt voor de acceptatie van hun certificaten. Ik vind het ongezond om dat als een straf te zien; dat is gewoon eisen dat je je shit op orde hebt.
Ze maken anders nog veel goede software, welke veel gebruikt wordt.
En je geeft al aan "volgens mij". Maar de wereld is groter dan alleen "mij".
Zo iets als ICANN? Wat momenteel een puinhoop aan het maken is van DNS?
[qoute]dat hele gecommercialiseer van internet op veel punten zal het vertrouwen niet helpen, en zonder vertrouwen is het business model van Symantec alleen nog maar gestoeld op de norton antivirus afdeling en daar is geen droog brood mee te verdienen. met andere woorden, Symantec schiet zichzelf in de voet en gaat het wapen herladen...[/quote]
Symantec is veel groter dan Antivirus.
Ze maken anders nog veel goede software, welke veel gebruikt wordt.
En je geeft al aan "volgens mij". Maar de wereld is groter dan alleen "mij".
[knip]
Symantec is veel groter dan Antivirus.
Goede Software ? Noem dan eens 1 goed produkt van Symantec (en de AV oplossing telt sowieso niet)... zelfs goede produkten die ze opgekocht hebben zijn sindsdien waardeloos geworden. In mijn optiek is de enige reden dat ze nog relevant zijn is dat ze de grootste CA zijn (en dat daarbij ook - onterecht - vertrouwen in het merk en haar overige produkten geeft)
De browser kan dan zelf controleren of een server certificaat geldig is voor een site of dat het een fake is. En bij een fake weigeren verbinding te maken.
Met DANE hebben de certifcaten van Symantec geen schijn van kans om gebruikers te misleiden.
Het heeft al in Chrome gezeten maar ze hebben het er weer uitgehaald 'wegens gebrek aan gebruikers': https://www.imperialviolet.org/2011/06/16/dnssecchrome.html
En nu blaast Google hoog van de toren blazen dat Symantec het fout doet.... tssk.
Ik vind Norton Internet Security anders een prima product. Deze hebben ze pas geleden een upgrade gegeven.
Ik vind Norton Internet Security anders een prima product. Deze hebben ze pas geleden een upgrade gegeven.
Of je hebt een supercomputer waarop NIS draait, of het interesseert je totaal niet dat je gemiddeld zo'n 20% CPU capaciteit weggooit wanneer je Norton hebt draaien. Daarenbij, aan den lijve meegemaakt dat Norton het kennelijk wel belangrijk vindt dat een virus jouw computer niet verlaat (netjes) maar het niet in staat is dat virus te detecteren voordat het mij besmet. Beetje verkeerde prio's mijns inziens.
Goede Software ? Noem dan eens 1 goed produkt van Symantec (en de AV oplossing telt sowieso niet)... zelfs goede produkten die ze opgekocht hebben zijn sindsdien waardeloos geworden. In mijn optiek is de enige reden dat ze nog relevant zijn is dat ze de grootste CA zijn (en dat daarbij ook - onterecht - vertrouwen in het merk en haar overige produkten geeft)
Netbackup, Storage Foundations, PGP,Enterprise Vault, Endpoint Protection. En zo kunnen we nog wel even door gaan.
En geen enkel product is perfect.
Ik weet niet of Google dat zelf ook zo ziet. In de genoemde maatregelen zie ik vooral dat Google strengere voorwaarden aan Symantec stelt voor de acceptatie van hun certificaten. Ik vind het ongezond om dat als een straf te zien; dat is gewoon eisen dat je je shit op orde hebt.
Het onderzoeken van nalatigheden in de verkeerd uitgegeven certificaten kost evenveel tijd en geld.
Het is inderdaad niet dat Google een overheidsorgaan is, maar om steun van zo'n groot bedrijf als Google te verliezen doet hoe dan ook zeer.
En gezien het om een CA gaat, waarbij heel het beveiligd internet vanaf hangt, is het een goede zaak om hun op het matje te roepen. Maakt niet uit of het een grote techbedrijf of een kleine overheidsorgaan is.
De browser kan dan zelf controleren of een server certificaat geldig is voor een site of dat het een fake is. En bij een fake weigeren verbinding te maken.
Met DANE hebben de certifcaten van Symantec geen schijn van kans om gebruikers te misleiden.
Het heeft al in Chrome gezeten maar ze hebben het er weer uitgehaald 'wegens gebrek aan gebruikers': https://www.imperialviolet.org/2011/06/16/dnssecchrome.html
En nu blaast Google hoog van de toren blazen dat Symantec het fout doet.... tssk.
De oplossing gemaakt door Adam Langley van Google maakt niet gebruik van normale DANE, de oplossing die hij gemaakt heeft was een aparte certificate chain met DNSSEC-informatie er in.
Die oplossing kun je wel gebruiken ipv. self-signed certificaten.
Maar jammer genoeg bleek het niet mogelijk om meerdere certificate chains (CA-chain en DNSSEC-chain) voor de zelfde HTTPS-verbinding te gebruiken want dat was niet compatible te maken met bestaande browsers.
Anders was dit al lang gebruikt, want het idee was goed.
Het probleem met DNSSEC/DANE in de browser is dat het netwerk waar de browser gebruik van maakt moet geen DNSSEC blokkeren. En er zijn nu eenmaal DSL-routers die grootte antwoorden blokkeren en andere problemen.
Daarom zit het niet in de browsers.
[knip DANE]
Het heeft al in Chrome gezeten maar ze hebben het er weer uitgehaald 'wegens gebrek aan gebruikers': https://www.imperialviolet.org/2011/06/16/dnssecchrome.html
En nu blaast Google hoog van de toren blazen dat Symantec het fout doet.... tssk.
Hallo, dat zijn twee heel verschillende zaken :
Google kiest ervoor om een feature weer te verwijderen
Of een Trusted Third Party blijkt z'n kerntaak en beloften mbt tot 'trust' niet waar te maken, en bij navraag een niet compleet verslag te leveren van wat er fout was maar nog een hele set aan fouten niet gevonden te hebben (of te willen verbergen ?) .
En jij maakt van dat verschil een 'pot verwijt ketel tsk tsk' ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
