image

Firefox wijzigt omgang rootcertificaten voor ouders en bedrijven

zondag 4 september 2016, 10:01 door Redactie, 8 reacties

Mozilla gaat aanpassingen in de manier doorvoeren waarop Firefox met rootcertificaten omgaat, waardoor de browser beter is geschikt voor bedrijven en andere beheerde omgevingen en ouders die het surfgedrag van hun kinderen monitoren. Rootcertificaten spelen een belangrijke rol op internet en zorgen ervoor dat browsers alleen ssl-certificaten accepteren die door vertrouwde certificaatautoriteiten zijn uitgegeven.

Windows heeft een eigen database met de rootcertificaten van certificaatautoriteiten die worden vertrouwd en browsers maken hier gebruik van. Dat geldt niet voor Firefox, dat over een eigen database met rootcertificaten beschikt. Dit kan een probleem zijn voor bedrijven en organisaties die hun eigen rootcertificaten beheren, bijvoorbeeld om het verkeer van werknemers te kunnen inspecteren of die eigen ssl-certificaten voor interne websites uitgeven. De bedrijven voegen in dit geval hun eigen rootcertificaat toe, zodat de ssl-certificaten die ze zelf uitgeven door de browser worden geaccepteerd.

Firefox zal in dit geval een waarschuwing geven, omdat het zoals gezegd over een eigen database met rootcertificaten beschikt en de rootcertificaten van de bedrijven niet herkent. Mozilla heeft nu een feature ontwikkeld waarbij Firefox in de Windows-database kijkt voor certificaatautoriteiten die door de gebruiker of systeembeheerder zijn toegevoegd. Als Firefox een dergelijke certificaatautoriteit tegenkomt zal het voortaan ook van deze partij de ssl-certificaten accepteren als het die op een website tegenkomt. De feature is nu alleen nog aanwezig in een testversie van Firefox 49 en moet handmatig worden ingeschakeld. Door de maatregel moet het volgens Mozilla eenvoudiger worden om Firefox binnen beheerde omgevingen te gebruiken.

Ouderlijke toezicht

De infrastructuur die Mozilla voor de omgang met certificaatautoriteiten buiten de eigen database ontwikkelde kan ook worden gebruikt voor ouderlijk toezicht, laat Mozilla-engineer David Keeler weten. Via Microsoft Family Safety kunnen ouders het surfgedrag van hun kinderen monitoren, door logs te verzamelen en websites te blokkeren. Onlangs liet Microsoft weten dat deze maatregel alleen met de eigen Edge-browser werkt. Mozilla meldt nu dat de nieuwe functionaliteit in de browser ervoor zorgt dat Microsoft Family Safety straks ook met Firefox werkt. De maatregel zal vanaf Firefox 50 worden ingevoerd. Daardoor krijgen kinderen als ze met Firefox websites bezoeken vanaf een Windows-account dat via Microsoft Family Safety wordt gemonitord geen foutmeldingen meer.

Reacties (8)
04-09-2016, 11:04 door Erik van Straten
M.i. was en is het in Windows en Firefox veel te eenvoudig voor eindegebruikers om rootcertificaten toe te voegen. Door malware beschreven in [1] zullen Firefox gebruikers ook meteen kwetsbaar zijn. De separate cettificate store van Firefox ervaar ik als een voordeel; ik hoop dat ik straks die certificate-peek "feature" in Firefox kan uitschakelen.

Ter vergelijking: in Android Nougat worden door gebruikers (of apps) toegevoegde root certificaten niet zomaar meer vertrouwd, zie [2]. Dat heeft wel als gevolg dat je https-MitM tools als Fiddler niet meer eenvoudig kunt gebruiken, zie [3].

[1] https://isc.sans.edu/forums/diary/Example+of+Targeted+Attack+Through+a+Proxy+PAC+File/21405/
[2] http://android-developers.blogspot.nl/2016/07/changes-to-trusted-certificate.html?m=1
[3] https://textslashplain.com/2016/07/27/using-fiddler-with-ios-10-and-android-7/
04-09-2016, 11:17 door Anoniem
Eindelijk..... Iets wat de andere browsers al gelukkig een tijd geleden bedacht hebben.
04-09-2016, 21:51 door johanw
De beveiliging m.b.v. "vertrouwde" certificaten, die toch al zwak was qua opzet, wordt dus nog zwakker gemaakt om control freaks de gelegenheid te geven ongezien man in the middle attacks te laten uitvoeren.
05-09-2016, 08:54 door Anoniem
Door johanw: De beveiliging m.b.v. "vertrouwde" certificaten, die toch al zwak was qua opzet, wordt dus nog zwakker gemaakt om control freaks de gelegenheid te geven ongezien man in the middle attacks te laten uitvoeren.

Correct.
05-09-2016, 09:28 door Anoniem
Door Anoniem:
Door johanw: De beveiliging m.b.v. "vertrouwde" certificaten, die toch al zwak was qua opzet, wordt dus nog zwakker gemaakt om control freaks de gelegenheid te geven ongezien man in the middle attacks te laten uitvoeren.

Correct.
Of juist om de veiligheid te verhogen. MitM kunnen ook gedaan worden op bedrijfs proxy servers, iets wat juist de veiligheid verhoogt voor het bedrijfs netwerk.
05-09-2016, 09:42 door Anoniem
Door Anoniem:
Door Anoniem:
Door johanw: De beveiliging m.b.v. "vertrouwde" certificaten, die toch al zwak was qua opzet, wordt dus nog zwakker gemaakt om control freaks de gelegenheid te geven ongezien man in the middle attacks te laten uitvoeren.

Correct.
Of juist om de veiligheid te verhogen. MitM kunnen ook gedaan worden op bedrijfs proxy servers, iets wat juist de veiligheid verhoogt voor het bedrijfs netwerk.

Inderdaad, door op de firewall het HTTPS verkeer al te kunnen controleren kun je malware, cryptoware en andere leuke dingen er al vast uithalen voor de eindgebruiker. Wel zo veilig. Hoeft de PC het niet eerst uit te voeren, en dan als het kwaad al geschied is, een virusscanner hebben die zegt: hé dat had niet gemogen..
05-09-2016, 10:17 door Anoniem

Of juist om de veiligheid te verhogen. MitM kunnen ook gedaan worden op bedrijfs proxy servers, iets wat juist de veiligheid verhoogt voor het bedrijfs netwerk.
Ja wel voor het bedrijfs netwerk maar niet voor de gebruikers ervan. Dat is wat Johan bedoelde.
05-09-2016, 11:33 door johanw
Door Anoniem:Of juist om de veiligheid te verhogen. MitM kunnen ook gedaan worden op bedrijfs proxy servers, iets wat juist de veiligheid verhoogt voor het bedrijfs netwerk.
Control freak gedrag dus. Maar dat is veel systeembeheerders inderdaad niet vreemd. De kans op misbruik van het mechanisme is veel groter.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.