Mozilla akkoord met zwakke encryptie in betaalautomaten
Mozilla heeft betalingsverwerker Worldpay toestemming gegeven om voor het verkeer van en naar meer dan 10.000 betaalautomaten in de hele wereld voorlopig zwakke encryptie te blijven gebruiken. De betaalautomaten gebruiken certificaten voor het beveiligen van het verkeer naar de centrale servers.
Het probleem is dat deze certificaten van het sha-1-algoritme gebruikmaken, wat als verouderd en onveilig is bestempeld. Inmiddels hebben browserontwikkelaars en andere partijen ondersteuning van sha-1 uitgefaseerd of zijn hiermee bezig. Ook is het sinds 1 januari van dit jaar niet meer toegestaan om sha-1-certificaten uit te geven. Er zijn echter verschillende betalingsverwerkers die hun betaalautomaten nog altijd niet hebben geüpgraded om certificaten met het sha-2-algoritme te ondersteunen, de opvolger van sha-1. Ook al zijn de deadlines van het oudere algoritme al jaren geleden afgesproken. Het gevolg hiervan is dat veel betaalautomaten alleen met servers kunnen communiceren die van het sha-1-algoritme gebruikmaken.
Worldpay is één van de betalingsverwerkers die van de sha-1-certificaten gebruikmaakt en de overstap naar sha-2 nog niet heeft afgerond. Het bedrijf vergat echter voor 31 december 2015 sha-1-certificaten aan te vragen voor de servers die hier nog gebruik van maken. Worldpay verzocht vervolgens Symantec om negen sha-1-certificaten uit te geven, wat in strijd met het beleid is dat dergelijke certificaten niet meer worden uitgegeven. De certificaten zijn volgens Worldpay nodig voor meer dan 10.000 verouderde betaalautomaten die over de hele wereld worden gebruikt.
Voor het uitgeven van de certificaten heeft Symantec dan ook toestemming nodig van het CA/Browser Forum, een vrijwillig consortium van certificate authorities en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties. Het forum, waar ook Mozilla onderdeel van uitmaakt, maakt richtlijnen voor de uitgifte van certificaten. Om verstoringen bij de klanten van Worldpay te voorkomen heeft Mozilla na discussie besloten om de uitgifte van de certificaten toe te staan. Wel zijn hier verschillende voorwaarden aan gesteld, zodat de uitgifte transparant is en alleen als doel heeft om uiteindelijk naar sha-2 te kunnen overstappen.
"De toestemming houdt in dat Symantec sha-1-certificaten kan uitgeven die ervoor zorgen dat de Worldpay-apparaten langer blijven werken, en dat de uitgifte niet door Mozilla als fout zal worden gezien", zegt Mozilla's Richard Barnes. Het gaat in dit geval alleen om het Mozilla-rootprogramma, oftewel alleen certificaten die door Mozilla worden vertrouwd. Andere browserleveranciers zijn ook door Worldpay benaderd, maar kunnen besluiten om de uitgifte van de certificaten mogelijk wel als fout zien.
Ik had van Mozilla wel een ander standpunt verwacht.
Ze zijn toch ook gebrand op veiligheid?.
Ik had van Mozilla wel een ander standpunt verwacht.
Ze zijn toch ook gebrand op veiligheid?.
Ik had van Mozilla wel een ander standpunt verwacht.
Ze zijn toch ook gebrand op veiligheid?.
Praat mij eens bij, hoe vaak (en hoe!) browsen jullie met je browsertje naar een betaalterminal?
Iets anders
Zou het kunnen zijn dat geldpinnende en betalende gebruikers er toch meer bij gebaat zijn om nog wel gebruik te kunnen maken van 1 van die 10.000 betaalterminals over de hele wereld?
Zou het kunnen dat als er onverhoopt toch iets fout gaat (want het is geen garantie) dat Worldpay daarvoor aansprakelijk gesteld kan worden en zelf voor de schade dient op te draaien?
Zou het kunnen dat vanwege deze twee 'argumenten' Mozilla foundation het te onredelijk zou vinden om a priori maar even ettelijke honderdduizenden (miljoenen?) gebruikers voor het blok te zetten?
Er is een afweging gemaakt waarbij volgens mij het risico en het ongemak vooral ligt bij Worldpay en eigenlijk juist niet zozeer bij de gebruiker.
Als het misbruik al zou voorkomen dan is die gebruiker inderdaad tijdelijk de pineut en gedwongen in de paperassen te gaan hangen om een claim neer te leggen bij Worldpay.
Maar weegt dat mogelijke tijdelijk nadeel op tegen het gegarandeerde uitsluiten van al die mensen door 10.000 betaalautomaten te blokkeren?
Als Mozilla de voet dwars had gezet was het verwijt vast omgekeerd geweest : Mozilla zet miljoenen mensen in de financiële kou!
Tja.
Ken je klassiekers.
Sha-256/512 == sha-2
Mijn bitcoins doen het ook perfect als digitaal zonde certificaat.
Mozilla zou juist GEEN toestemming moeten geven om zwakkere encryptie te gebruiken en ze onder druk zetten om als de brandweer aan de gang te gaan.
lol,de overvallers,zakkenrollers,en ander tuig dat je geld wil 'doet' het ook nog 'gewoon' hoor...........................................
de schade door fysieke diefstal is vele malen groter dan waar jij zo panisch voor bent.
de nieuwe tijd is altijd eng heh oud besje?
SHA-512 en SHA-256 maken onderdeel uit van SHA-2. SHA-2 is een familie van hash functies. Zie https://en.wikipedia.org/wiki/SHA-2. Dus hopelijk gaan ze in één stap naar SHA-512.
Papiergeld zou je ook als certificaat kunnen zien. Een certificaat van een schuld van de bank aan toonder.
Vroeger stond dit er zelfs op: http://www.jenneken.nl/bekijk/pics1900/1900-muntenbankbljet-5.jpg
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
