image

Ophef over intermediate certificaat voor Blue Coat

vrijdag 27 mei 2016, 12:25 door Redactie, 13 reacties

Op internet is ophef ontstaan over de beslissing van Symantec om een "intermediate" certificaat aan beveiligingsbedrijf Blue Coat toe te kennen, waarmee het voor willekeurige domeinen ssl-certificaten kan uitgeven. Blue Coat ontwikkelt oplossingen waarmee organisaties netwerkverkeer kunnen inspecteren.

Ook worden de oplossingen van het bedrijf gebruikt voor het onderscheppen van internetverkeer. Een aantal jaren geleden kwam Blue Coat nog in het nieuws omdat internetfilters van het bedrijf door de regimes in Myanmar en Syrië werden gebruikt. Internetgebruikers op onder andere Hacker News en Reddit maken zich dan ook zorgen nu Blue Coat een intermediate certificaatautoriteit is geworden. Met een intermediate certificaat kan Blue Coat voor willekeurige domeinen ssl-certificaten uitgeven. Omdat het intermediate certificaat van Symantec afkomstig is, en Symantec een root-certificaatautoriteit is, zullen deze uitgegeven ssl-certificaten door alle browsers worden vertrouwd. Wat Blue Coat als intermediate certificaatautoriteit van plan is, is nog onbekend.

Sommige lezers op Hacker News stellen dat uitgegeven certificaten mogelijk voor het cloudplatform worden gebruikt dat het bedrijf aanbiedt. Veel lezers maken zich echter zorgen dat de certificaten straks in de interceptie-oplossingen van Blue Coat belanden, waardoor versleuteld verkeer van gebruikers gelezen kan worden, zonder dat die hier melding van krijgen. De door Blue Coat uitgegeven certificaten zullen door de browser namelijk als volledig legitiem worden beschouwd. Andere lezers stellen weer dat eventueel misbruik van de nu verworven positie als ssl-verstrekker grote gevolgen voor Blue Coat en Symantec zou hebben. Beide bedrijven hebben nog niet op de onrust gereageerd.

Filippo Valsorda van het CloudFlare Security Team heeft inmiddels instructies online gezet hoe Blue Coat als onbetrouwbare intermediate certificaatautoriteit in Mac OS X en Windows kan worden aangemerkt. In dit geval krijgen gebruikers wel een waarschuwing als iemand met een Blue Coat-apparaat tussen hun verbinding en het internet zit en dit via een uitgegeven ssl-certificaat probeert te onderscheppen.

Reacties (13)
27-05-2016, 13:01 door Anoniem
De instructies voor Windows bleken duidelijk en het onvertrouwd maken van Blue Coat verliep net zoals door Filippo Valsorda werd getoond. Bedankt voor de info!
27-05-2016, 13:09 door Reinder
Dit illustreert treffend het grote probleem met het principe van een "trusted third party": Om dat systeem te laten werken moet je die derde partij vertrouwen, maar het is vrijwel onmogelijk om te bepalen of ze te vertrouwen zijn of niet. Je kan alleen afgaan op de reputatie of je onderbuikgevoel. Symantec had altijd een goede naam, ik weet niet of dit een slimme zet van ze is, maar heel Symantec un-trusten is geen realistische optie, daarvoor zijn ze te groot en hun certificaten te veel gebruikt.

In de lijst met vertrouwde partijen in de gemiddelde browser staan echter nog wel meer partijen waarvan ik nauwlijks kan vaststellen of ze wel of niet te vertrouwen zijn, maar waarvan mijn onderbuikgevoel zegt dat ik ze niet zou moeten vertrouwen, zoals Chungwha Telecom uit China, Turktrust uit Turkije, de Nederlandse Staat, en een hele partij Zuid-Oost Aziatische en Zuid-Amerikaanse telecom- en postbedrijven. Het is goed dat er aandacht wordt gevraagd voor dit specifieke geval, maar het staat niet op zichzelf en is een tamelijk fundamenteel probleem in de TTP methode.
27-05-2016, 13:34 door _R0N_
Wat ze er mee willen lijkt me wel duidelijk gezien de prodcuten van het bedrijf..

Als je HTTPS verkeer wilt inspecteren moet je als client optreden zodat je de inhound unencrypted kunt bekijken, door dan een certificaat te genereren en het weer te encrypten naar de eindgebruiker zal die het nog steeds als HTTPS verkeer zien.
Leuk om je bankzaken via een bluecoat device te doen..
27-05-2016, 13:45 door Anoniem
Ik ben benieuwd; wat vindt Erik van Straten? ;-)
27-05-2016, 13:52 door [Account Verwijderd]
[Verwijderd]
27-05-2016, 15:15 door Anoniem
Hoewel ik de vrees van sommige mensen wel kan begrijpen, denk ik dat het niet zo'n vaart zal lopen. Ten eerste tekent Symantec vaker intermediate CA's voor andere partijen, daar is op zich niets mis mee zo lang BlueCoat zich maar houdt aan wat in het Certificate Practice Statement van Symantec staat. En Symantec weet echt wel beter dan een Intermediate CA te ondertekenen dat wordt gebruikt voor interceptie oplossingen. Dat zou het vertrouwen in hun Root CA ondermijnen, en dat gaan ze echt niet doen. Ik denk wél dat het op zijn plaats was geweest als de Intermediate CA van BlueCoat met een pathlength constraint van 1 i.p.v. 0 was uitgegeven. Daarmee zou zijn voorkomen dat BlueCoat zelf CA's kan ondertekenen die vertrouwd worden, iets wat nu technisch wel mogelijk is. Gezien de commotie denk ik dat het verstandig zou zijn als Symantec de Intermediate van BlueCoat opnieuw uitgeeft met een pathlength constraint van 1 en de huidige intrekt.
27-05-2016, 16:26 door Anoniem
Ja, ondertussen wordt moord en brand geschreeuw om mijn EIGEN zelfbouw certificaten, maar aan de achterdeur worden ze gewoon genept....
Meten met twee maten wat Mozilla en Google doen.
27-05-2016, 17:09 door Anoniem
Door MAC-user: Nou, thanks. Heb de procedure van untrused uitgevoerd voor mijn systeem.

Het certificaat in deze procedure (directe link https://crt.sh/?d=19538258 ) is al expired. Heeft "untrusten" dan wel zin in deze zaak?
27-05-2016, 17:13 door Anoniem
Door Anoniem: Hoewel ik de vrees van sommige mensen wel kan begrijpen, denk ik dat het niet zo'n vaart zal lopen. Ten eerste tekent Symantec vaker intermediate CA's voor andere partijen, daar is op zich niets mis mee zo lang BlueCoat zich maar houdt aan wat in het Certificate Practice Statement van Symantec staat. En Symantec weet echt wel beter dan een Intermediate CA te ondertekenen dat wordt gebruikt voor interceptie oplossingen. Dat zou het vertrouwen in hun Root CA ondermijnen, en dat gaan ze echt niet doen. Ik denk wél dat het op zijn plaats was geweest als de Intermediate CA van BlueCoat met een pathlength constraint van 1 i.p.v. 0 was uitgegeven. Daarmee zou zijn voorkomen dat BlueCoat zelf CA's kan ondertekenen die vertrouwd worden, iets wat nu technisch wel mogelijk is. Gezien de commotie denk ik dat het verstandig zou zijn als Symantec de Intermediate van BlueCoat opnieuw uitgeeft met een pathlength constraint van 1 en de huidige intrekt.

Bluecoat is toch juist een interceptie oplossing? En ik snap ook wel waarom bepaalde landen graag zien dat de Bluecoat alle certificaten uit kan geven. Ben je Diginotar al vergeten? Die breach ging er echt niet om, te zorgen dat de Nederlandse overheid eens wat nieuwe certificaatjes installeerde (al was dat een van de gevolgen, best een nuttige exercitie).
Maar wel om bv. een wildcard voor o.a. google te maken.

Door de actie van Symantece is geen inbraak meer nodig.
27-05-2016, 17:25 door Anoniem
Door Anoniem: Hoewel ik de vrees van sommige mensen wel kan begrijpen, denk ik dat het niet zo'n vaart zal lopen. Ten eerste tekent Symantec vaker intermediate CA's voor andere partijen, daar is op zich niets mis mee zo lang BlueCoat zich maar houdt aan wat in het Certificate Practice Statement van Symantec staat. En Symantec weet echt wel beter dan een Intermediate CA te ondertekenen dat wordt gebruikt voor interceptie oplossingen. Dat zou het vertrouwen in hun Root CA ondermijnen, en dat gaan ze echt niet doen. Ik denk wél dat het op zijn plaats was geweest als de Intermediate CA van BlueCoat met een pathlength constraint van 1 i.p.v. 0 was uitgegeven. Daarmee zou zijn voorkomen dat BlueCoat zelf CA's kan ondertekenen die vertrouwd worden, iets wat nu technisch wel mogelijk is. Gezien de commotie denk ik dat het verstandig zou zijn als Symantec de Intermediate van BlueCoat opnieuw uitgeeft met een pathlength constraint van 1 en de huidige intrekt.

Sterker nog, als ze dat niet doet kan ze binnen no-time haar gehele CA (in praktisch en pragmatisch aspect) afschrijven... Iets wat me in hun positie zwaar ongewenst lijkt.
Daarbovenop vind ik het verwerpelijk dat iemand die zich in zo'n high-profile positie bevindt alsnog zo fout handelt. Er zijn legio (onweerlegbare) argumentaties mogelijk dat deze gehele handeling nooit plaats HAD MOGEN VINDEN. en dat laatste vind ik in het geval van een bedrijf als Symantec het allerzwaarst wegen.
28-05-2016, 00:50 door Anoniem
Door Anoniem:
Door MAC-user: Nou, thanks. Heb de procedure van untrused uitgevoerd voor mijn systeem.

Het certificaat in deze procedure (directe link https://crt.sh/?d=19538258 ) is al expired. Heeft "untrusten" dan wel zin in deze zaak?

Hoe kom je daarbij? Het certificaat is geldig tot 24-09-2025.
28-05-2016, 11:30 door Anoniem
Ook BlueCoat moet zich gewoon aan de validatie regeltjes houden.
29-05-2016, 12:52 door Anoniem
Door Anoniem: Ook BlueCoat moet zich gewoon aan de validatie regeltjes houden.

Ook BlueCoat moet luisteren naar de Amerikaanse overheid
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.