image

Symantec hekelt Google wegens actie tegen ssl-certificaten

zondag 26 maart 2017, 10:11 door Redactie, 12 reacties

Symantec heeft uitgehaald naar Google vanwege de maatregelen die de internetgigant tegen de ssl-certificaten van Symantec gaat nemen. Google publiceerde deze week een blogposting waarin het stelde dat Symantec bij het uitgeven van ssl-certificaten allerlei fouten heeft gemaakt.

Daarom gaat Google in toekomstige versies van Chrome het vertrouwen in al door Symantec uitgegeven ssl-certificaten opzeggen en worden nieuwe ssl-certificaten voor maximaal negen maanden vertrouwd. Ook worden EV-certificaten van Symantec binnen Chrome niet meer als zodanig weergegeven. Volgens Symantec gaat het om een onverwachte actie en is de blogposting van Google onverantwoord.

Het beveiligingsbedrijf stelt dat de opmerkingen van Google over de gemaakte fouten misleidend en overdreven zijn. Zo zouden er niet ten onrechte 30.000 certificaten zijn uitgegeven en zorgden de verkeerd uitgegeven certificaten niet voor schade. Verder zegt Symantec vanwege de gemaakte fouten allerlei maatregelen te hebben genomen om het vertrouwen in de certificaten van het beveiligingsbedrijf te versterken.

Reacties (12)
26-03-2017, 10:43 door Anoniem
ABN AMRO heeft al een probleempje:
http://imgur.com/a/KrJuR

Onderste serie plaatjes is de Chrome Browser, bovenste serie plaatjes is in dit geval Edge.
26-03-2017, 12:09 door Anoniem
Het wachten is op een Google-maatregel tegen Let's Encrypt-certificaten. Gisteren een hoop websites ontdekt die zo'n gratis SSL-certificaat gebruikten maar waar desondanks heel veel op aan te merken viel opo het gebied van de beveiliging. Kenmerkend genoeg vooral bij websites waarop gepocht wordt over het veiliger maken van internet ...
26-03-2017, 14:37 door Anoniem
Let op banken gaan nu in tegenstelling tot het verleden, toen ze er nog wat huiverig tegenover stonden vanwege bestaande bejaarde klanten, hun Symantec certificaten snel vervangen in het kader middels ondersteuning via EV certificaten om gebruikers meer oog te laten krijgen voor hun algemene anti-PHISHING campagnes.

Dat nu alles zich nog verder aan het oog en daadwerkelijke veiligheidscontrole gaat ontrekken via "Google as root, you are now just owned further by us", doet er niet toe. Niemand gaat die gronddiscussie aan voorlopig.

Schepje meer "security through obscurity" erbij kan toch geen kwaad?

Ieder verantwoordelijke ouder en verzorger leert het kind hoe die voorzichtig en veilig over moet steken bijvoorbeeld,
maar bij Internetten leert men 'het produkt niets' en is beveiligheidsinzicht voorbehouden aan een kleine cirkel van ingewijden. Het lijken de alchemisten uit de neo-Middeleeuwen wel. Eerst https overal invoeren. Kijk in de https Everywhere Atlas waar dat al allemaal misging.

Google Safebrowsing, OK ,maar niet exclusief ter bevordering van de eigen protectionistische en monopolistische agenda.

Symantec verliest de "Extended Validation"-status en gaat dit dus duur bekopen. Wordt interessant om te zien welke zetten Google nu verder op het Internet schaakbord zal gaan doen. Let's Encrypt free heeft ook al voor veel ellende gezorgd en
ook de neutrale opstelling van de grote CDNs, wel snel domeinen in de parkeerroute zetten als de centjes niet binnenkomen of als het beter uitkomt voor parking ads, maar niet kijken naar ander 'abuse', alleen content pushen en verdienen aan data-handel.

Ik zie voorlopig nog geen echte betere veiligheid van de infrastructuur. Meer bewustzijn zie ik niet. Daarentegen meer "dumbing down" en nog meer opsluiten binnen een soort van "technologische matrix".

Wanneer gaan we hieruit breken door wakker te worden voor wat er werkelijk speelt?
26-03-2017, 18:11 door karma4
Door Anoniem: ....
Wanneer gaan we hieruit breken door wakker te worden voor wat er werkelijk speelt?
thnks, gaarne meer medestanders.
26-03-2017, 18:22 door Briolet
Door Anoniem: ABN AMRO heeft al een probleempje:

Niet bij Chrome op de mac. Op dit OS laat Chrome de certificaat controle over aan het systeem en volgt dus het beleid van Apple.

Chrome heeft een ander probleem. Om het certificaat te controleren, kun je niet op het slotje klikken, zoals bij andere browsers, maar moet de "ontwikkelaars tools" starten en je daar door de menu's heen ploeteren.
26-03-2017, 18:54 door Anoniem
Door Briolet:
Door Anoniem: ABN AMRO heeft al een probleempje:

Niet bij Chrome op de mac. Op dit OS laat Chrome de certificaat controle over aan het systeem en volgt dus het beleid van Apple.

Chrome heeft een ander probleem. Om het certificaat te controleren, kun je niet op het slotje klikken, zoals bij andere browsers, maar moet de "ontwikkelaars tools" starten en je daar door de menu's heen ploeteren.

Of op F12 drukken (en eventueel nog de tab Security selecteren).

Google lijkt trouwens een uitzondering te maken voor Microsoft: https://login.live.com
26-03-2017, 22:40 door Anoniem
Door Anoniem: Het wachten is op een Google-maatregel tegen Let's Encrypt-certificaten. Gisteren een hoop websites ontdekt die zo'n gratis SSL-certificaat gebruikten maar waar desondanks heel veel op aan te merken viel opo het gebied van de beveiliging. Kenmerkend genoeg vooral bij websites waarop gepocht wordt over het veiliger maken van internet ...
Het wachten is op internetters die wel snappen waarom ze vertrouwen in dat slotje hebben. Daar hoort ook bij of je snapt wat een geldig certificaat niet aantoont.
27-03-2017, 10:16 door Anoniem
Complexe materie.

Symantec staat erom bekend dat ze MITM-certificaten hebben uitgegeven aan overheidsinstanties die daardoor alles wat TLS mee kunnen lezen. Dus dat Google hen wantrouwt lijkt me enigszins logisch. Dat symantec reclameert snap ik ook nog want bad publicity aangaande vertrouwen betekent faillisement (zie Diginotar)

Het probleem ligt echter veel dieper. Er zijn zoveel ROOT-CA's in zoveel verschillende landen zoals VS, Turkije, China, e.d. dat overheidsinvloeden niet uit te sluiten zijn en waarmee het hele vertrouwen in het certificaatsysteem ter discussie staat.

Hoog tijd dat het gehele systeem, gelet op alles wat Snowden en wikileaks ons hebben geleerd, nog eens zeer kritisch wordt beschouwd.
27-03-2017, 14:15 door Anoniem
Door Anoniem: ABN AMRO heeft al een probleempje:
http://imgur.com/a/KrJuR

Onderste serie plaatjes is de Chrome Browser, bovenste serie plaatjes is in dit geval Edge.


Ik zie in de onderste bij ABN Amro ook een slotje en zelfs het woord 'secure'. Mis ik wat? Of is het 'mis" dat achter het slotje niet de naam ABN AMRO staat?
28-03-2017, 09:19 door Briolet
Door Anoniem: Of is het 'mis" dat achter het slotje niet de naam ABN AMRO staat?

Dat is inderdaad mis. Bij een EV certificaat komt daar niet de url te staan, maar de firma naam op wiens naam het EV certificaat geregistreerd is.

Een kenner weet bij een firmanaam achter het slotje dat het een certificaat van de hoogste vertrouwensklasse betreft. Ik vraag me echter af of de gewone gebruiker hier überhaupt verschil in ziet, want er wordt niet breed voorgelicht op dit gebied.
28-03-2017, 11:17 door Anoniem
Door Briolet:
Door Anoniem: Of is het 'mis" dat achter het slotje niet de naam ABN AMRO staat?

Dat is inderdaad mis. Bij een EV certificaat komt daar niet de url te staan, maar de firma naam op wiens naam het EV certificaat geregistreerd is.

Een kenner weet bij een firmanaam achter het slotje dat het een certificaat van de hoogste vertrouwensklasse betreft. Ik vraag me echter af of de gewone gebruiker hier überhaupt verschil in ziet, want er wordt niet breed voorgelicht op dit gebied.


Ah. Ik ben zo'n gewone gebruiker en zag inderdaad niet wat er mis was. Dank voor de uitleg!
28-03-2017, 18:54 door Anoniem
Als de NSA over een public key van Google beschikt, kunnen ze die mooi gebruiken voor een MitM aanval, zoals hier beschreven: https://security.stackexchange.com/questions/42406/how-to-detect-the-nsa-mitm-attack-on-ssl &
https://security.stackexchange.com/questions/42406/how-to-detect-the-nsa-mitm-attack-on-ssl/54738#54738

Dit is het welbekende DigiNotar scenario. In dit licht moet men de inspanningen van Google (die er niets over mag melden (gag-order)} ook zien. MD5 fingerprints beveiliging is zeker gebroken, dus dat vormt ook geen belemmering meer.

De meeste mensen checken het ook niet na: https://addons.mozilla.org/en-US/firefox/addon/certificate-patrol/

Extensie niet beschikbaar voor Chrome. Is Google derhalve overal je vriend?

Je hebt nu een hele route nodig via developers tools om de authenticiteit van het certificaat na te trekken.

Het wordt er niet veiliger op, vrienden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.