image

Facebook en CloudFlare willen uitstel van SHA-1-deadline

vrijdag 11 december 2015, 12:39 door Redactie, 6 reacties

Facebook en CloudFlare hebben opgeroepen om de nadere deadline voor SSL-certificaten die van het SHA-1-algoritme gebruikmaken uit te stellen, omdat hierdoor straks tientallen miljoenen mensen geen toegang meer tot versleutelde websites hebben.

Uit beveiligingsonderzoek dat eerder dit jaar werd gepubliceerd blijkt dat het veel goedkoper is om SHA-1-certificaten aan te vallen dan voorheen werd aangenomen. Daardoor is het mogelijk om malafide SSL-certificaten voor legitieme websites te genereren, zonder dat die een waarschuwing in de browser veroorzaken. Internetbedrijven hebben daarom afgesproken om de ondersteuning van SHA-1-certificaten te stoppen.

Zo laat Google Chrome al een waarschuwing zien als gebruikers dergelijke certificaten tegenkomen. Andere browsers zullen volgend jaar dit voorbeeld volgen, waarbij uiteindelijk in 2016 alle HTTPS-verbindingen die via een SHA-1-certificaat zijn opgezet niet meer door browsers worden vertrouwd. Voor met name gebruikers van oudere technologie is dit een probleem. De opvolger van SHA-1, SHA-2, wordt door oudere besturingssystemen en software namelijk niet ondersteund. Het gaat dan onder andere om Android versie 2.2 (Froyo), Windows XP met Service Pack 2 en OpenSSL 0.9.8.

Uit onderzoek van CloudFlare onder 2,2 miljard unieke internetgebruikers blijkt dat 98,31% van de browsers SHA-2 ondersteunt. 1,69% doet dat niet. Dit lijkt misschien een klein percentage, maar het gaat nog altijd om meer dan 37 miljoen mensen, voornamelijk in ontwikkelingslanden. Deze gebruikers kunnen straks geen versleutelde websites meer bezoeken, tenzij ze hun apparatuur upgraden. De meeste mensen zonder SHA2-ondersteuning bevinden zich in China en Afrikaanse landen, waaronder repressieve regimes. Juist in deze landen hebben mensen encryptie nodig, stelt CloudFlare.

Het bedrijf heeft een oplossing ontwikkeld, zodat websites standaard SHA-2-certificaten aanbieden, maar op een SHA-1-certificaat kunnen terugvallen als de browser van bezoekers geen SHA-2 ondersteunt. CloudFlare en Facebook pleiten dan ook voor de implementatie van een 'legacy-certificaat' dat op SHA-1 kan terugvallen, maar als dit niet voor 31 december kan worden gerealiseerd, vragen ze om uitstel van de deadline totdat een standaard voor dergelijke certificaten kan worden opgesteld.

Reacties (6)
11-12-2015, 13:40 door Anoniem
Deze gebruikers kunnen straks geen versleutelde websites meer bezoeken, tenzij ze hun apparatuur upgraden.


Huh....?

Bij het bezoeken van zo'n website zul je alleen een waarschuwing krijgen; die je kunt omzeilen door 2 kliks;dan werkt alles prima hoor.

En dan is het niet meer te bezoeken???
11-12-2015, 13:54 door Anoniem
De meeste mensen zonder SHA2-ondersteuning bevinden zich in China en Afrikaanse landen, waaronder repressieve regimes. Juist in deze landen hebben mensen encryptie nodig, stelt CloudFlare.

Fout antwoord.

Uit beveiligingsonderzoek dat eerder dit jaar werd gepubliceerd blijkt dat het veel goedkoper is om SHA-1-certificaten aan te vallen dan voorheen werd aangenomen.

Die repressieve regimes hoeven dus niet eens veel geld te besteden om hun inwoners te kunnen volgen. Terwijl die inwoners nog gewoon denken dat ze veilig kunnen communiceren.

Peter
11-12-2015, 17:40 door Anoniem
Geen uitstel dat blijft zo maar doorgaan.
12-12-2015, 00:03 door Anoniem
en CloudFlare hebben opgeroepen om de nadere deadline voor SSL-certificaten die van het SHA-1-algoritme gebruikmaken uit te stellen, omdat hierdoor straks tientallen miljoenen mensen geen toegang meer tot versleutelde websites hebben.

Cloudflare heeft boter op haar hoofd want blokkeert zelf hele groepen gebruikers.
Welke gebruikers?

De meeste mensen zonder SHA2-ondersteuning bevinden zich in China en Afrikaanse landen, waaronder repressieve regimes. Juist in deze landen hebben mensen encryptie nodig, stelt CloudFlare.

Torbrowser gebruikers!
Gebruikers van een browser die gebruikt wordt door mensen die zich bevinden in landen waar repressie en het beknotten van vrijheid van meningsuiting aan de orde van de dag is.

Het argument deugt maar het bedrijf alleen niet.
Zowel Facebook en cloudflare hebben waarschijnlijk andere argumenten, financiele argumenten waarom ze het niet zo'n goed idee vinden.
Iets met het verzamelen van gebruikers data en het tracken vermoedelijk.
Hield Cludflare namelijk niet al het ipv verkeer bij dat langs haar filters komt?
14-12-2015, 18:16 door Anoniem
Door Anoniem:
Torbrowser gebruikers!
Gebruikers van een browser die gebruikt wordt door mensen die zich bevinden in landen waar repressie en het beknotten van vrijheid van meningsuiting aan de orde van de dag is.

Dat valt nog best mee.

Dat blijkt namelijk minder spannend te zijn dan je denkt.

Tor wordt blijkbaar vaak gebruikt door mensen die spam, etc. willen versturen via website (zoals formulieren). Dus zijn de exit IP-adressen van Tor sterk aangemerkt als 'abusive' door CloudFlare. En dus moet je een extra moeilijke captcha invullen. Erg vervelend ?: ja, onmogelijk te gebruiken ?: nee. Een bewijs daarvoor is dat als je een heel nieuwe exit-relay gebruikt dat het wel goed gaat (omdat dat IP-adres nog niet aangemerkt is als bagger).
14-12-2015, 18:23 door Anoniem
Door Anoniem:
Deze gebruikers kunnen straks geen versleutelde websites meer bezoeken, tenzij ze hun apparatuur upgraden.


Huh....?

Bij het bezoeken van zo'n website zul je alleen een waarschuwing krijgen; die je kunt omzeilen door 2 kliks;dan werkt alles prima hoor.

En dan is het niet meer te bezoeken???

Het is geen protocol wijziging, alleen maar in de signing vna certificaten. Dus ik denk dat jij gelijk hebt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.