image

Google wantrouwt nieuwe certificaten WoSign en StartCom

dinsdag 1 november 2016, 09:59 door Redactie, 1 reacties

In navolging van Mozilla heeft ook Google besloten om nieuwe ssl-certificaten van certificaatautoriteiten WoSign en StartCom niet meer te vertrouwen. Aanleiding zijn verschillende incidenten bij het uitgeven van ssl-certificaten. Certificaatautoriteiten spelen een zeer belangrijke rol bij het vertrouwen op internet.

Ze gegeven ssl-certificaten uit die worden onder andere gebruikt voor het identificeren van websites en het versleutelen van verkeer van en aan bezoekers. Door zich niet aan de regels te houden hebben WoSign en StartCom de veiligheid en privacy van internetgebruikers in gevaar gebracht, aldus Google. In augustus van dit jaar werd Google ingelicht door het beveiligingsteam van GitHub dat WoSign zonder toestemming een certificaat voor één van GitHubs domeinen had uitgegeven. Het onderzoek dat volgde liet zien dat er nog meer incidenten bij de certificaatautoriteiten hadden plaatsgevonden.

"Het onderzoek concludeerde dat WoSign opzettelijk en bewust certificaten ten onrechte had uitgegeven om de browserbeperkingen en regels voor certificaatautoriteiten te omzeilen", aldus Google. Verder bleek dat StartCom, een andere certificaatautoriteit, door WoSign was overgenomen en de infrastructuur, het beleid en personeel door die van WoSign waren vervangen. Nadat beide bedrijven hiermee werden geconfronteerd besloot het management om actief de browsergemeenschap over de relatie tussen beide bedrijven te misleiden.

Google heeft daarom besloten om vanaf Chrome 56 certificaten van WoSign en StartCom die na 21 oktober zijn uitgegeven niet meer te vertrouwen. Certificaten die voor deze tijd zijn uitgegeven zullen voor een bepaalde tijd nog wel worden vertrouwd, als ze aan de 'Certificate Transparency' in Chrome voldoen of aan een beperkt aantal domeinen zijn toegekend waarvan bekend is dat ze klanten van WoSign en StartCom zijn. Vanwege technische beperkingen en zorgen, kan Chrome niet alle al bestaande certificaten vertrouwen. Daarom kan het zijn dat certificaten van WoSign en StartCom vanaf Chrome 56 niet meer werken. Uiteindelijk wil Google het vertrouwen in beide certificaatautoriteiten helemaal afbouwen.

Reacties (1)
01-11-2016, 15:39 door Anoniem
Ja zolang StartCom nog RC4 hanteert, dat vanwege onveiligheid al op afserveren staat als encryptie standaard....
is het dus dubbel niks.

Geen TLS 1.2 of hoger en daarbovenop nog eens RC4 geïnstalleerd.
Daarmee is StartCom nog een graadje onveiliger dan onze Chinese vriendjes van WoSign,
die met een "custom errors:Fail" en clickjacking kwetsbaarheid op de M$ server ook niet al te veilig presteren.

Er is nog meer, maar laten we hier maar eerst eens mee beginnen.

Net als die hele 'HTTPS Everywhere' operatie. Goed bedoelde evangelisatie, aanbevelingwaardig toch!
Maar als je iets echt aan onveilige infrastructuur wil doen, doe het dan ook gelijk goed.

Maar ja we zijn "zunig", heh, als grote commerciële partijen.
Echt veilig is zes keer duurder, dus toch nog liever eerst maar eens wat overwinst gepakt.
Beveiliging blijft sluitpost in de meeste gevallen. Waarvan akte.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.