Facebook en CloudFlare willen uitstel van SHA-1-deadline
Facebook en CloudFlare hebben opgeroepen om de nadere deadline voor SSL-certificaten die van het SHA-1-algoritme gebruikmaken uit te stellen, omdat hierdoor straks tientallen miljoenen mensen geen toegang meer tot versleutelde websites hebben.
Uit beveiligingsonderzoek dat eerder dit jaar werd gepubliceerd blijkt dat het veel goedkoper is om SHA-1-certificaten aan te vallen dan voorheen werd aangenomen. Daardoor is het mogelijk om malafide SSL-certificaten voor legitieme websites te genereren, zonder dat die een waarschuwing in de browser veroorzaken. Internetbedrijven hebben daarom afgesproken om de ondersteuning van SHA-1-certificaten te stoppen.
Zo laat Google Chrome al een waarschuwing zien als gebruikers dergelijke certificaten tegenkomen. Andere browsers zullen volgend jaar dit voorbeeld volgen, waarbij uiteindelijk in 2016 alle HTTPS-verbindingen die via een SHA-1-certificaat zijn opgezet niet meer door browsers worden vertrouwd. Voor met name gebruikers van oudere technologie is dit een probleem. De opvolger van SHA-1, SHA-2, wordt door oudere besturingssystemen en software namelijk niet ondersteund. Het gaat dan onder andere om Android versie 2.2 (Froyo), Windows XP met Service Pack 2 en OpenSSL 0.9.8.
Uit onderzoek van CloudFlare onder 2,2 miljard unieke internetgebruikers blijkt dat 98,31% van de browsers SHA-2 ondersteunt. 1,69% doet dat niet. Dit lijkt misschien een klein percentage, maar het gaat nog altijd om meer dan 37 miljoen mensen, voornamelijk in ontwikkelingslanden. Deze gebruikers kunnen straks geen versleutelde websites meer bezoeken, tenzij ze hun apparatuur upgraden. De meeste mensen zonder SHA2-ondersteuning bevinden zich in China en Afrikaanse landen, waaronder repressieve regimes. Juist in deze landen hebben mensen encryptie nodig, stelt CloudFlare.
Het bedrijf heeft een oplossing ontwikkeld, zodat websites standaard SHA-2-certificaten aanbieden, maar op een SHA-1-certificaat kunnen terugvallen als de browser van bezoekers geen SHA-2 ondersteunt. CloudFlare en Facebook pleiten dan ook voor de implementatie van een 'legacy-certificaat' dat op SHA-1 kan terugvallen, maar als dit niet voor 31 december kan worden gerealiseerd, vragen ze om uitstel van de deadline totdat een standaard voor dergelijke certificaten kan worden opgesteld.
Huh....?
Bij het bezoeken van zo'n website zul je alleen een waarschuwing krijgen; die je kunt omzeilen door 2 kliks;dan werkt alles prima hoor.
En dan is het niet meer te bezoeken???
Fout antwoord.
Die repressieve regimes hoeven dus niet eens veel geld te besteden om hun inwoners te kunnen volgen. Terwijl die inwoners nog gewoon denken dat ze veilig kunnen communiceren.
Peter
Cloudflare heeft boter op haar hoofd want blokkeert zelf hele groepen gebruikers.
Welke gebruikers?
Torbrowser gebruikers!
Gebruikers van een browser die gebruikt wordt door mensen die zich bevinden in landen waar repressie en het beknotten van vrijheid van meningsuiting aan de orde van de dag is.
Het argument deugt maar het bedrijf alleen niet.
Zowel Facebook en cloudflare hebben waarschijnlijk andere argumenten, financiele argumenten waarom ze het niet zo'n goed idee vinden.
Iets met het verzamelen van gebruikers data en het tracken vermoedelijk.
Hield Cludflare namelijk niet al het ipv verkeer bij dat langs haar filters komt?
Torbrowser gebruikers!
Gebruikers van een browser die gebruikt wordt door mensen die zich bevinden in landen waar repressie en het beknotten van vrijheid van meningsuiting aan de orde van de dag is.
Dat valt nog best mee.
Dat blijkt namelijk minder spannend te zijn dan je denkt.
Tor wordt blijkbaar vaak gebruikt door mensen die spam, etc. willen versturen via website (zoals formulieren). Dus zijn de exit IP-adressen van Tor sterk aangemerkt als 'abusive' door CloudFlare. En dus moet je een extra moeilijke captcha invullen. Erg vervelend ?: ja, onmogelijk te gebruiken ?: nee. Een bewijs daarvoor is dat als je een heel nieuwe exit-relay gebruikt dat het wel goed gaat (omdat dat IP-adres nog niet aangemerkt is als bagger).
Huh....?
Bij het bezoeken van zo'n website zul je alleen een waarschuwing krijgen; die je kunt omzeilen door 2 kliks;dan werkt alles prima hoor.
En dan is het niet meer te bezoeken???
Het is geen protocol wijziging, alleen maar in de signing vna certificaten. Dus ik denk dat jij gelijk hebt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
