image

Mozilla adviseert Symantec om Google-voorstel te accepteren

woensdag 3 mei 2017, 16:45 door Redactie, 9 reacties

Mozilla heeft Symantec geadviseerd om een voorstel van Google om weer vertrouwen in de ssl-certificaten van het beveiligingsbedrijf te krijgen op te volgen. Vanwege verschillende fouten bij ssl-certificaten die door Symantec zijn gecontroleerd en uitgegeven kondigde Google in maart een plan aan om geleidelijk het vertrouwen in de certificaten van het bedrijf op te zeggen.

Zo had Symantec ten onrechte een ssl-certificaat voor Google aan een andere partij uitgegeven. Om het vertrouwen te herstellen stelde Google verschillende maatregelen voor. Zo zouden nieuwe door Symantec uitgegeven ssl-certificaten een geldigheidsperiode van 9 maanden of minder krijgen. Daarnaast zou het vertrouwen in al uitgegeven Symantec-certificaten geleidelijk worden opgezegd. Symantec reageerde door te stellen dat de berichtgeving van Google misleidend en overdreven was.

Na overleg kwam Google met een tweede voorstel, waarbij Symantec een nieuwe public key infrastructure (PKI) zou moeten gaan gebruiken, die in eerste instantie van één of meer andere certificaatautoriteiten zou zijn. Ook zou het vertrouwen in de ev-ssl-certificaten van Symantec niet worden opgezegd en zouden nieuwe Symantec-certificaten 13 maanden in plaats van 9 maanden geldig blijven. Symantec kwam vorige week met een eigen voorstel, maar dat valt niet in goede aarde.

"We vinden dat het antwoord van Symantec niet voldoende weergeeft dat ze de ernst van de problemen begrijpen en dat hun voorstel voornamelijk ervoor zorgt dat ze meer van hetzelfde blijven doen, wat in het verleden niet voor consistente hoge standaarden heeft gezorgd", zegt Mozilla's Gervase Markham. Hij benadrukt dat Mozilla zelf beslissingen maakt, maar zich in dit geval in de oplossing van Google kan vinden. Het tweede voorstel van Google biedt volgens Mozilla de juiste balans voor Symantec tussen het breken met het verleden om weer in de toekomst te kunnen worden vertrouwd en het minimaliseren van de impact op het ecosysteem. Mozilla adviseert Symantec dan ook om het voorstel te heroverwegen.

"Als dat voorstel niet wordt geïmplementeerd, moeten we alternatieve maatregelen nemen om het risico te verminderen van in het verleden en de toekomst verkeerd uitgegeven certificaten door Symantec", aldus Markham. Mozilla zal in dit geval alleen nog nieuwe Symantec-certificaten voor een periode van 13 maanden accepteren en de geldige levensduur van bestaande certificaten naar 13 maanden terugbrengen. Ook moet Symantec onderdelen die niet aan de Baseline Requirements voor certificaten voldoen afstoten en de eigen PKI volledig in kaart brengen.

Reacties (9)
03-05-2017, 16:51 door karma4
Wat is de relatie Mozilla en google. Waarom is er heen controlerende instantie buiten de commercie.
Toch gek dat een commercieel bedrijf gaat bepalen wat een ander commercieel bedrijf al of niet mag op publieke infra.
03-05-2017, 18:06 door Anoniem
@karma4,

Je geeft weer precies aan waar de schoen wringt. Commercie is almachtig en we krijgen alles opgedrongen door de dikste portemonnee. Geen toezichthouders, die nog wat in de melk te brokken hebben of ze zitten liever op hun luie achterwerk.
De politiek heeft in deze ook zeer slecht gewerkt. Boetes betaalt men fluitend uit de achterzak.

En de eindgebruiker heeft helemaal geen stem meer in het kapittel. Kijk naar de recente "losse flodder ballon" van demissonair minister Edith Schippers, om onze DNA gegevens over te hevelen naar politie- en justitie-databanken. Afgrijselijk.

Net zo met de afgedwongen verwatering van de 4 mei herdenking door hetzelfde paarsgroene affront. Jodenvervolging kan al bijna op scholen niet meer aan de orde komen. In wat voor zieke tijd leven we toch, waar andersdenkenden democratisch worden geringeloord.
03-05-2017, 20:02 door soeperees
Hij benadrukt dat Mozilla zelf beslissingen maakt, maar zich in dit geval in de oplossing van Google kan vinden.
Mozilla heeft in deze dus geen relatie met Google.

Google moet je in deze context zien als browsermaker (net als mozilla). Jouw browser is de eind node in de chain of trust van ssl-certificaten. In vind dat ze nog erg coulant zijn naar Symantec!
03-05-2017, 20:31 door Anoniem
Door soeperees:
Google moet je in deze context zien als browsermaker (net als mozilla). Jouw browser is de eind node in de chain of trust van ssl-certificaten.

En dat is een HELE SLECHTE zaak!!!
Die rol zou helemaal niet bij de browser maker mogen liggen maar moet worden belegd bij een onafhankelijke partij,
en nog liever meerdere onafhankelijke partijen waarvan je er als gebruiker een kunt kiezen die je het meeste vertrouwt.
04-05-2017, 09:06 door Anoniem
Door Anoniem:
Door soeperees:
Google moet je in deze context zien als browsermaker (net als mozilla). Jouw browser is de eind node in de chain of trust van ssl-certificaten.

En dat is een HELE SLECHTE zaak!!!
Die rol zou helemaal niet bij de browser maker mogen liggen maar moet worden belegd bij een onafhankelijke partij,
en nog liever meerdere onafhankelijke partijen waarvan je er als gebruiker een kunt kiezen die je het meeste vertrouwt.

Ja, maar dat kan toch niet anders. Je gebruikt immers de browser om de websites in te bekijken. Dus je moet altijd vertrouwen op de bouwer van de website. Echter kun je wel weer kiezen uit meerdere browsers, de één van commerciële partijen en de andere zijn open source. Dus je kunt gewoon zelf kiezen wie je vertrouwt.
04-05-2017, 09:42 door Anoniem
Door karma4: Wat is de relatie Mozilla en google. Waarom is er heen controlerende instantie buiten de commercie.
Toch gek dat een commercieel bedrijf gaat bepalen wat een ander commercieel bedrijf al of niet mag op publieke infra.
Hier zie je opvattingen die in de VS en in Silicon Valley helemaal sterk vertegenwoordigd zijn aan het werk. Overheid is per definitie verdacht, toezichthouders dus ook, de markt lost alles op. En dus zijn het nu browserbouwers die CA's in de gaten en scherp houden.

Wat ik me al afvroeg toen halverwege de jaren '90 SSL werd bedacht en CA's in opkomst kwamen was trouwens waarom dat niet door overheden wordt gedaan. Als ik naar het loket van de gemeente ga om een paspoort te regelen, waarom ga ik dan niet ook daarheen om mijn persoonlijke digitale sleutels te laten certificeren? Voor rechtspersonen kan daar ook een geschikte instantie voor worden bedacht. Overheid werd toen, voor mensen die dat onmiddelijk gaan roepen, nog niet met falende IT geassocieerd. Het is eind jaren '90 dat het RCC en GCEI (computercentra van het rijk en van Amsterdam) werden geprivatiseerd. Ik heb met een aantal ex-GCEI'ers jarenlang samengewerkt en dat waren oerdegelijke professionals die overduidelijk in een oerdegelijke professionele omgeving hun vak hadden geleerd. Het is vermoedelijk juist het afstoten van die kennis geweest die de huidige warboel heeft veroorzaakt. Als in plaats daarvan de overheid zich verder was gaan professionaliseren en daarbij tegen betaalbare leges ook digitale sleutels was gaan certificeren was ik daar blij mee geweest.
04-05-2017, 09:46 door Anoniem
Door Anoniem:
Door soeperees:
Google moet je in deze context zien als browsermaker (net als mozilla). Jouw browser is de eind node in de chain of trust van ssl-certificaten.

En dat is een HELE SLECHTE zaak!!!
Die rol zou helemaal niet bij de browser maker mogen liggen maar moet worden belegd bij een onafhankelijke partij,
en nog liever meerdere onafhankelijke partijen waarvan je er als gebruiker een kunt kiezen die je het meeste vertrouwt.
De browsermakers bepalen het voor het gros van het volk, omdat die niet de interesse en kunde hebben om het zelf te doen. Maar in alle browsers en OSen kun je zelf bepalen welke root-certificaten je vertrouwt en welke niet. Dan kun je je eigen onafhankelijke partij zijn :)

En deze "onafhankelijke" partij bestaat al: het CA/Browser Forum. Echt onafhankelijk is deze partij natuurlijk niet, maar een echt onafhankelijke partij bestaat sowieso niet, omdat er altijd wel hidden agendas zijn.
05-05-2017, 13:50 door Anoniem
Maar al het bovenstaande in deze draad geeft toch wel heel duidelijk het failliet aan van hoe de huidige infrastructuur is ingericht. Globale uitbating maar niet ten faveure van de eindgebruikers, die steeds minder kunnen beoordelen, hoe veilig de infrastructuur is die ze gebruiken en experts die er ook geen invloed meer op hebben en alleen achteraf nog wat over kunnen filosoferen.

Hoe groot is het aandeel `security through obscurity`? Het goed Oud-Hollandse gezegde zegt "Veel beloven en weinig geven, doet de gek in vreugde leven". We weten niet eens meer "wat" nog precies veilig is, waar overheidsachterdeuren samen met die van de commercie al jaren en jaren bestaan. Hoe veel oude exploits steeds weer opnieuw kunnen worden opgetuigd tot een eindeloze rij nieuwe varianten omdat de basis fouten uit het begin nooit echt verholpen zijn en we allemaal onveilig worden gehouden onder hetzelfde stoplapdeken. Hoe meer ik er van gezien heb, hoe meer ik ervan overtuigd raak: Ïnternet insecurity by design! En als het dat doel niet al lang diende, was het er al lang niet meer.
06-05-2017, 13:17 door Joep Lunaar
Het fundamentele probleem is dat de betrouwbaarheid van HTTPS en TLS/SSL afhangt van de betrouwbaarheid van de uitgegeven certificaten. Vele commerciële CA's pretenderen de hoogste standaarden na te leven, maar doen dat echter niet.
We kennen allemaal het voorbeeld van Diginotar, maar ondertussen hebben al vele andere CA's in meer en mindere mate grote fouten gemaakt.

Het in bovenstaand artikel gegeven voorbeeld dat Symantec een certificaat voor een Google domain heeft uitgegeven aan een derde partij is maar een voorbeeld, maar wel een met mogelijk zeer vergaande ongewensten effecten (bijv. dat journalisten of leden van een oppositie vervolgd worden op grond van onderschepte communicatie, mogelijk met de dood van dezen tot gevolg). Er zijn honderden CA's en vele maken er een potje van, vooral de aanverwante rol van RA (registrating authority, de taak die verificatie behelst van de identiteit en authenticiteit van een certificaat dat de CA tekent) is een zeer kwetsbare gebleken.

Om die reden zien de makers van webbrowsers en operating systems toe op de qualiteit van de CA van wie zij het root certificaat (het anker van een keten van vertrouwen) met hun producten meeleveren. Het is vooral dankzij partijen als Mozilla en Google en de belangrijkste OSS distributies (Debian enz.) dat de CA een beetje bij de les worden gehouden. Grote partijen als Microsoft en Oracle (Java !) zijn tot nog toe op zijn best vooral volgers in deze.

Nog een wonderlijke iets:
De non-profit organisatie CACERT.ORG geeft ook certificaten uit. Als een van de weinigen CA zijn zij volledig transparant in hun processen en bovendien zijn alle certificaathouders verplicht zich eerst **in persoon** aan de hand van minimaal een paspoort te registreren. Prima, maar het wonderlijke is dat de root certificaten van CACERT niet in de grote webbrowsers zijn opgenomen. CACERT is voor in de wetenschappelijke wereld populair.

Verder is een heel interessante ontwikkeling DNSSEC i.c.m. DANE. In deze opzet vervalt het belang van CA's en hun root certificaten en wordt de rol van anker in de vertrouwensketen DNSSEC. Zoek er maar een op. Overigens is ook hier wonderlijk dat de grote webbrowsers dit (nog) niet ondersteunen. Grote kans dat DANE vooral eerst doorbreekt in e-mail toepassingen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.