image

Google gaat vertrouwen in Symantec-certificaten opzeggen

vrijdag 24 maart 2017, 10:06 door Redactie, 9 reacties

Vanwege verschillende fouten bij ssl-certificaten die door Symantec zijn gecontroleerd en uitgegeven heeft Google besloten om geleidelijk het vertrouwen in de certificaten van het bedrijf op te zeggen. In januari begon Google een onderzoek naar verschillende incidenten met ssl-certificaten van Symantec.

In eerste instantie ging het om 127 ten onrechte uitgegeven certificaten, maar verder onderzoek wees uit dat het om minstens 30.000 certificaten ging die de afgelopen jaren zijn uitgegeven. Het is niet de eerste keer dat Symantec de mist in gaat. In 2015 ontdekte Google ook al verschillende problemen. Zo had Symantec ten onrechte een ssl-certificaat voor Google aan een andere partij uitgegeven. Ook bij de nu ontdekte problemen heeft Symantec de gemeenschap niet voldoende ingelicht en gewaarschuwd, aldus Google.

"Hierdoor hebben we geen vertrouwen meer in het beleid en de manier waarop Symantec de afgelopen jaren certificaten heeft uitgegeven", zo laat de internetgigant weten. Om het vertrouwen te herstellen stelt Google verschillende maatregelen voor. Zo krijgen nieuwe door Symantec uitgegeven ssl-certificaten een geldigheidsperiode van negen maanden of minder. Daarnaast zal het vertrouwen in al uitgegeven Symantec-certificaten geleidelijk worden opgezegd. Verder zal de Extended Validation-status van door Symantec uitgegeven certificaten worden ingetrokken, totdat Symantec de zaakjes weer op orde heeft. Dit zal in ieder geval voor één jaar gaan gelden.

"Om de compatibiliteitsrisico's tegen de veiligheidsrisico's af te wegen, stellen we voor om het vertrouwen in alle bestaande door Symantec uitgegeven certificaten geleidelijk op te zeggen, waarbij we verplichten dat ze door nieuwe, volledig opnieuw gecontroleerde certificaten worden vervangen", aldus Google. De maatregelen zullen via aankomende Chrome-versies worden doorgevoerd. Daarnaast mogen nieuwe Symantec-certificaten niet langer geldig dan negen maanden zijn.

Door deze stappen te combineren moeten de Symantec-certificaten weer kunnen worden vertrouwd en moet het risico van oudere en mogelijk ook toekomstige ten onrechte uitgegeven certificaten worden beperkt. Daarnaast worden de EV-certificaten van Symantec per direct niet meer als EV-certificaat weergegeven. Wat andere browserleveranciers zoals Apple, Microsoft en Mozilla met de Symantec-certificaten gaan doen is nog onbekend.

Reacties (9)
24-03-2017, 10:42 door Anoniem
Kijk eens even, harde maatregelen. Je gaat haast denken dat het verkiezingstijd is ofzo.
Stem op ons want wij gaan het eens even goed regelen allemaal.

Eigenlijk is het heel vervelend dat het al of niet vertrouwen van certificaten ligt bij een partij als een browsermaker.
Dat zou een onafhankelijke instantie moeten regelen.
24-03-2017, 13:00 door Anoniem
wat dacht je van het vertouwen in de certificaat boeren. wie controleert dat? niemand.
Comodo staat overigens ook bekend als een cowbow
24-03-2017, 14:10 door Mozes.Kriebel
Door Anoniem: Eigenlijk is het heel vervelend dat het al of niet vertrouwen van certificaten ligt bij een partij als een browsermaker. Dat zou een onafhankelijke instantie moeten regelen.
Da's het nadeel van zo'n open netwerk; niemand is echt de baas. Maar marktleiders pakken het slim aan. Zou dit er iets mee te maken hebben?URL: https://www.theregister.co.uk/2017/01/27/google_root_ca/
24-03-2017, 14:11 door Anoniem
Duurbetaalde Enen en nullen

Door Anoniem: wat dacht je van het vertrouwen in de certificaat boeren. wie controleert dat? niemand.
Comodo staat overigens ook bekend als een cowbow
Er is wel een verschil tussen comodo en symantec.
De nullen en enen van Symantec zijn kennelijk van diamant en de factuur wellicht handgeïllustreerd met ingelegd bladgoud.
Iets anders schiet me even niet te binnen bij de maffiaans aandoende prijsverschillen.
Kijkt u even mee?

EV certificaten
https://www.sslcertificaten.nl/certificaten#EV_Standaard_2

Voor twee jaar
Vanaf € 165,00 Comodo
WTF Symantec € 1590,00

Denk dat je blij mag zijn dat je een Comodo EV certificaat hebt, dat scheelt je een hoop geld.
Een zeer terechte actie van Google.
Want wel geld graaien maar geen zorgvuldigheid bieden terwijl dat de essentie van je dienst is?
Dat kan natuurlijk niet, nou ja, wel maar het gaat een keer fout.
Laat die tent bij deze daarvoor boeten, zwaar.
Al zullen ze het niet eens merken met een buffer bij prijzen die 9x!!! hoger liggen dan de concurrent.

De enige die er dus de dupe van wordt is de klant qua geld.
Of andere certificaten wel de veiligheid bieden?
Roept u maar..

Hoe dan ook, zolang dit soort prijzenmaffia bestaat zal de wens van ene erik (allemaal aan het e.v. certificaat) niet erg dichterbij komen.
Waarom heeft security.nl eigenlijk geen EV certificaat??

Misschien niet nodig om de reageerders te beschermen maar wel beter ogend voor een bedrijf dat security producten verkoopt.
Met een lullig grijs slotje onderscheidt je je je niet en overtuigt ook niet voor een bedrijf dat securitydiensten verkoopt.
(Tip: EV certificaat kosten deels op het marketingbudget laten drukken, mits aanwezig ;)
24-03-2017, 14:40 door Anoniem
Door Anoniem: Eigenlijk is het heel vervelend dat het al of niet vertrouwen van certificaten ligt bij een partij als een browsermaker.
Dat zou een onafhankelijke instantie moeten regelen.
Google en Symantec zijn onafhankelijk van elkaar. In dit geval heeft Google als browsermaker een belang om scherp toe te zien op de kwaliteit van CA's omdat hun kwaliteit direct van invloed is op het vertrouwen van de gebruikers webbrowsers in het web.

Ik zie commerciële bedrijven niet als de idale bewakers van het algemene belang, maar in dit geval ligt het belang van Google (en van andere browsermaker) wel in het verlengde van dat algemene belang, en daardoor functioneren ze heel behoorlijk als waakhonden van CA's.
24-03-2017, 18:05 door Anoniem
Dank voor de opinies en overwegingen hierboven.
Google denkt dus met zijn strategie al een zestien zetten vooruit.

Https everywhere, certificering in het voor jou gewenste model persen
en dan een nog verdere afhankelijkheid van hun bedrijfsmodel verplichten door hun monopolie positie
en de daaruit voortvloeiende invloed, ook in dit opzicht.

En ieder ligt in bed met Alphabet, dus als je het handig speelt heeft de rest het nakijken.

M$ hield zich ook nooit aan algemene standaarden en sneed voortdurend bochtjes af om daar voordeel uit tehalen.

We kennen het spel en de achterliggende belangen.

luntrus
24-03-2017, 22:27 door Anoniem
Briljant uitgedacht allemaal.

Een en hetzelfde certificaat über alles met een overeenkomstig MiM schema en met wie wordt dit dan vervolgens allemaal gedeeld? Ideaal voor voortgezettte tracking. Op elke website met meestal al Google adsense en DoubleClick scripts.

Google als root certificaat en dat is ook nog eens geen 'best practices', mensen! Dag, Let's Encrypt, dag Telecom diensten!

En Google heeft genoeg servers om het tevens lekker ondoorzichtig te houden - dit alles in naam van een betere beveiligingsstandaard. Ammehoela!

GlobalSign R2 and R4 verworven door Google, nu s.v.p. schrappen in de whitelist van je browser?

Kwalijke ontwikkelingen allemaal ingegeven door protectionistisch monopolisme van dit rupsje nooit genoeg.

Je kan er straks bijkans niet meer omheen en dat is nu juist de bedoeling. Wie kan hen nog stoppen????
25-03-2017, 00:58 door Erik van Straten
24-03-2017, 14:11 door Anoniem: Waarom heeft security.nl eigenlijk geen EV certificaat??
De exacte beweegredenen van security.nl ken ik niet. Maar hoewel er bij de uitgifte van een EV certificaat veel strengere checks plaatsvinden op of de aanvrager geautoriseerd om dat te doen namens de in zo'n certificaat geïdentificeerde organisatie en die spoofen dus veel lastiger is, vermoed ik omdat:

1) De term security.nl die jij noemt zowel de naam van de organisatie is als de domainname op Internet, en die laatste zie je al in de URL balk van jouw webbrowser. Bijvoorbeeld voor gebruikers van een Visa kaart ligt het veel minder voor de hand dat zij op icscards.nl moeten inloggen om hun bankzaken te doen, en waarom office365.com gebuikers via live.com op microsoftonline.com moeten inloggen (alsof microsoft.com niet online zou zijn) ontgaat me volledig, maar in dat soort situaties helpt een EV certificaat natuurlijk wel;

2) Het risico dat kwaadwillenden deze site spoofen, bijv. om mijn wachtwoord te achterhalen, vermoedelijk niet zo groot is.

Sowieso snap ik niet waar je je druk over maakt, want je post hier anoniem; elke andere anoniem kan zich voordoen als jou bijv. door jouw schrijfstijl te imiteren, of, zoals in het geval van een mogelijk andere Anoniem, af te sluiten met "luntrus".
25-03-2017, 14:30 door Anoniem
Ja maar een schrijfstijl imiteren, kan ook aanleiding geven tot opvallende consequenties en met de juiste analyse val je dan al direct door de mand.

Jammer dat men het analyserend taalonderzoek, zoals men dat had aan de Berlijnse universiteit van rond 1928 niet meer heeft voortgezet. Dankzij zulk onderzoek kon je via taalkenmerken de spreker vrij direct plaatsen binnen een bepaalde groep. Als je het woord fishstick gebruikt in een Engelse tekst ben je of wel een Duitser of Hollander, die dit kent van de *nilever *gl* etikettering, een Engelsman noemt deze visproducten "fish fingers" of een Pool, die het begrip ook als "visvingertje" aka "paluszek rybny" opvat.

Waarom heeft men die Belgische recente expertise grondig de nek gedraaid? Gent en Leuven deden prima linguistisch onderzoek. Lernaut & Hauspie, eeuwig zonde, mensen. Weer werden we hier in Europa een loer gedraaid. Maar ja aan wie zich niet meteen conformeren aan het globale voornamelijk Amerikaanse geweld, wordt direct "den totalen Krieg" verklaart.

Als F.RAVIA (R.I.P.) adept denk ik dat een goede zoeker op internet even belangrijk kan zijn voor de analyse als een 'hacker' of 'beveiligingsdeskundige'. De combinatie zou nog betere resultaten geven.

In het geval van luntrus is de nick slecht gekozen, want veel te specifiek. Als hij niet ter goeder trouw handelde of gevaarlijk zou willen trollen of "luren" (van Engels ww. 'lure') zou hij een nick kiezen, die niet te achterhalen valt zoals bij demonen, 'legio' of 'logos' e.d. zijn daar mooie voorbeelden van - luntrus is dus een onafhankelijk en goedaardige figuur en niet al te jong meer, maar wel goed opgeleid.

Alhoewel als degene afsluit met "luntrus" en niet de ware luntrus zou zijn en het niet gespoofed is, zou de nep-luntrus wel opvallen bij de redaktie, die dan modereert. Luntrus voelt zich in ieder geval vereerd, dat men hem hier als voorbeeld aanhaalt, waarvan akte.

Om weer terug on topic te komen, gebruik dus nooit je ware identiteit bij het aanmaken van je kamerbrede Google of facebook of welk account dan ook. Maar om andere reden ben ik en mijn huisgenoten van facebook afgestapt, twaalf dagen wachten en de sh*t is eindelijk van je digitale voetzolen.;)

Maar dat maakt je slechts een klein beetje minder zichtbaar. Adressen gebruiken uit de voormalige DDR met de oude postcodes kon ook nog wel eens werken, maar met een centrale computer in Bern n met de gigantische capaciteit van heden maakt dit het wegduiken steeds meer onmogelijk. We zien dat Google er alles aan gelegen is de anonimiteit en de privacy van een ieder op het Internet grondig en voortdurend te ondergraven. Drie IP adressen achter elkaar werkt ook niet meer alsmede ik zit achter 13 proxies.

Waar zijn de oude lieden, zoals een F.RAVIA, Woodman, oude resource hackers en zoekguru's, die ons leerden ons te beschermen tegen het grote ondemocratische elitaire overheersings- en advertentiespook?

Komen er nog navolgers, in de vorm van innovatieve jongelui, die de digitale matrix te slim af willen zijn? We hebben ze zeker nodig in de nabije toekomst. Ik zal ze in ieder geval in beste zin trachten te inspireren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.