Nieuws

Ophef over intermediate certificaat voor Blue Coat

vrijdag 27 mei 2016, 12:25 door Redactie, 13 reacties

Op internet is ophef ontstaan over de beslissing van Symantec om een "intermediate" certificaat aan beveiligingsbedrijf Blue Coat toe te kennen, waarmee het voor willekeurige domeinen ssl-certificaten kan uitgeven. Blue Coat ontwikkelt oplossingen waarmee organisaties netwerkverkeer kunnen inspecteren.

Ook worden de oplossingen van het bedrijf gebruikt voor het onderscheppen van internetverkeer. Een aantal jaren geleden kwam Blue Coat nog in het nieuws omdat internetfilters van het bedrijf door de regimes in Myanmar en Syrië werden gebruikt. Internetgebruikers op onder andere Hacker News en Reddit maken zich dan ook zorgen nu Blue Coat een intermediate certificaatautoriteit is geworden. Met een intermediate certificaat kan Blue Coat voor willekeurige domeinen ssl-certificaten uitgeven. Omdat het intermediate certificaat van Symantec afkomstig is, en Symantec een root-certificaatautoriteit is, zullen deze uitgegeven ssl-certificaten door alle browsers worden vertrouwd. Wat Blue Coat als intermediate certificaatautoriteit van plan is, is nog onbekend.

Sommige lezers op Hacker News stellen dat uitgegeven certificaten mogelijk voor het cloudplatform worden gebruikt dat het bedrijf aanbiedt. Veel lezers maken zich echter zorgen dat de certificaten straks in de interceptie-oplossingen van Blue Coat belanden, waardoor versleuteld verkeer van gebruikers gelezen kan worden, zonder dat die hier melding van krijgen. De door Blue Coat uitgegeven certificaten zullen door de browser namelijk als volledig legitiem worden beschouwd. Andere lezers stellen weer dat eventueel misbruik van de nu verworven positie als ssl-verstrekker grote gevolgen voor Blue Coat en Symantec zou hebben. Beide bedrijven hebben nog niet op de onrust gereageerd.

Filippo Valsorda van het CloudFlare Security Team heeft inmiddels instructies online gezet hoe Blue Coat als onbetrouwbare intermediate certificaatautoriteit in Mac OS X en Windows kan worden aangemerkt. In dit geval krijgen gebruikers wel een waarschuwing als iemand met een Blue Coat-apparaat tussen hun verbinding en het internet zit en dit via een uitgegeven ssl-certificaat probeert te onderscheppen.

Meer Belgen slachtoffer van fraude met internetbankieren

Golf van e-mails met Locky-ransomware in Nederland

Reacties (13)

27-05-2016, 13:01 door Anoniem

De instructies voor Windows bleken duidelijk en het onvertrouwd maken van Blue Coat verliep net zoals door Filippo Valsorda werd getoond. Bedankt voor de info!

27-05-2016, 13:09 door Reinder

Dit illustreert treffend het grote probleem met het principe van een "trusted third party": Om dat systeem te laten werken moet je die derde partij vertrouwen, maar het is vrijwel onmogelijk om te bepalen of ze te vertrouwen zijn of niet. Je kan alleen afgaan op de reputatie of je onderbuikgevoel. Symantec had altijd een goede naam, ik weet niet of dit een slimme zet van ze is, maar heel Symantec un-trusten is geen realistische optie, daarvoor zijn ze te groot en hun certificaten te veel gebruikt.

In de lijst met vertrouwde partijen in de gemiddelde browser staan echter nog wel meer partijen waarvan ik nauwlijks kan vaststellen of ze wel of niet te vertrouwen zijn, maar waarvan mijn onderbuikgevoel zegt dat ik ze niet zou moeten vertrouwen, zoals Chungwha Telecom uit China, Turktrust uit Turkije, de Nederlandse Staat, en een hele partij Zuid-Oost Aziatische en Zuid-Amerikaanse telecom- en postbedrijven. Het is goed dat er aandacht wordt gevraagd voor dit specifieke geval, maar het staat niet op zichzelf en is een tamelijk fundamenteel probleem in de TTP methode.

27-05-2016, 13:34 door _R0N_

Wat ze er mee willen lijkt me wel duidelijk gezien de prodcuten van het bedrijf..

Als je HTTPS verkeer wilt inspecteren moet je als client optreden zodat je de inhound unencrypted kunt bekijken, door dan een certificaat te genereren en het weer te encrypten naar de eindgebruiker zal die het nog steeds als HTTPS verkeer zien.
Leuk om je bankzaken via een bluecoat device te doen..

27-05-2016, 13:45 door Anoniem

Ik ben benieuwd; wat vindt Erik van Straten? ;-)

27-05-2016, 13:52 door [Account Verwijderd]

[Verwijderd]

27-05-2016, 15:15 door Anoniem

Hoewel ik de vrees van sommige mensen wel kan begrijpen, denk ik dat het niet zo'n vaart zal lopen. Ten eerste tekent Symantec vaker intermediate CA's voor andere partijen, daar is op zich niets mis mee zo lang BlueCoat zich maar houdt aan wat in het Certificate Practice Statement van Symantec staat. En Symantec weet echt wel beter dan een Intermediate CA te ondertekenen dat wordt gebruikt voor interceptie oplossingen. Dat zou het vertrouwen in hun Root CA ondermijnen, en dat gaan ze echt niet doen. Ik denk wél dat het op zijn plaats was geweest als de Intermediate CA van BlueCoat met een pathlength constraint van 1 i.p.v. 0 was uitgegeven. Daarmee zou zijn voorkomen dat BlueCoat zelf CA's kan ondertekenen die vertrouwd worden, iets wat nu technisch wel mogelijk is. Gezien de commotie denk ik dat het verstandig zou zijn als Symantec de Intermediate van BlueCoat opnieuw uitgeeft met een pathlength constraint van 1 en de huidige intrekt.

27-05-2016, 16:26 door Anoniem

Ja, ondertussen wordt moord en brand geschreeuw om mijn EIGEN zelfbouw certificaten, maar aan de achterdeur worden ze gewoon genept....
Meten met twee maten wat Mozilla en Google doen.

27-05-2016, 17:09 door Anoniem

Door MAC-user: Nou, thanks. Heb de procedure van untrused uitgevoerd voor mijn systeem.

Het certificaat in deze procedure (directe link https://crt.sh/?d=19538258 ) is al expired. Heeft "untrusten" dan wel zin in deze zaak?

27-05-2016, 17:13 door Anoniem

Door Anoniem: Hoewel ik de vrees van sommige mensen wel kan begrijpen, denk ik dat het niet zo'n vaart zal lopen. Ten eerste tekent Symantec vaker intermediate CA's voor andere partijen, daar is op zich niets mis mee zo lang BlueCoat zich maar houdt aan wat in het Certificate Practice Statement van Symantec staat. En Symantec weet echt wel beter dan een Intermediate CA te ondertekenen dat wordt gebruikt voor interceptie oplossingen. Dat zou het vertrouwen in hun Root CA ondermijnen, en dat gaan ze echt niet doen. Ik denk wél dat het op zijn plaats was geweest als de Intermediate CA van BlueCoat met een pathlength constraint van 1 i.p.v. 0 was uitgegeven. Daarmee zou zijn voorkomen dat BlueCoat zelf CA's kan ondertekenen die vertrouwd worden, iets wat nu technisch wel mogelijk is. Gezien de commotie denk ik dat het verstandig zou zijn als Symantec de Intermediate van BlueCoat opnieuw uitgeeft met een pathlength constraint van 1 en de huidige intrekt.

Bluecoat is toch juist een interceptie oplossing? En ik snap ook wel waarom bepaalde landen graag zien dat de Bluecoat alle certificaten uit kan geven. Ben je Diginotar al vergeten? Die breach ging er echt niet om, te zorgen dat de Nederlandse overheid eens wat nieuwe certificaatjes installeerde (al was dat een van de gevolgen, best een nuttige exercitie).
Maar wel om bv. een wildcard voor o.a. google te maken.

Door de actie van Symantece is geen inbraak meer nodig.

27-05-2016, 17:25 door Anoniem

Sterker nog, als ze dat niet doet kan ze binnen no-time haar gehele CA (in praktisch en pragmatisch aspect) afschrijven... Iets wat me in hun positie zwaar ongewenst lijkt.
Daarbovenop vind ik het verwerpelijk dat iemand die zich in zo'n high-profile positie bevindt alsnog zo fout handelt. Er zijn legio (onweerlegbare) argumentaties mogelijk dat deze gehele handeling nooit plaats HAD MOGEN VINDEN. en dat laatste vind ik in het geval van een bedrijf als Symantec het allerzwaarst wegen.

28-05-2016, 00:50 door Anoniem

Door Anoniem:

Door MAC-user: Nou, thanks. Heb de procedure van untrused uitgevoerd voor mijn systeem.

Het certificaat in deze procedure (directe link https://crt.sh/?d=19538258 ) is al expired. Heeft "untrusten" dan wel zin in deze zaak?

Hoe kom je daarbij? Het certificaat is geldig tot 24-09-2025.

28-05-2016, 11:30 door Anoniem

Ook BlueCoat moet zich gewoon aan de validatie regeltjes houden.

29-05-2016, 12:52 door Anoniem

Door Anoniem: Ook BlueCoat moet zich gewoon aan de validatie regeltjes houden.

Ook BlueCoat moet luisteren naar de Amerikaanse overheid

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer