image

Google waarschuwt websites met WoSign- of StartCom-certificaat

vrijdag 21 juli 2017, 09:46 door Redactie, 4 reacties

Google waarschuwt websites met een ssl-certificaat van certificaatautoriteiten WoSign of StartCom, want vanaf september krijgen Chrome-gebruikers bij het bezoeken van deze websites een waarschuwing te zien dat het aangeboden certificaat niet wordt vertrouwd. Vanwege verschillende incidenten heeft Google besloten het vertrouwen in certificaten van WoSign en StartCom op te zeggen.

Vorig jaar augustus werd Google ingelicht door het beveiligingsteam van GitHub dat WoSign zonder toestemming een certificaat voor één van GitHubs domeinen had uitgegeven. Het onderzoek dat volgde liet zien dat er nog meer incidenten bij de certificaatautoriteiten hadden plaatsgevonden. Aangezien het direct blokkeren van ssl-certificaten van beide certificaatautoriteiten een grote impact op websites en Chrome-gebruikers zou hebben besloot Google het vertrouwen geleidelijk op te zeggen.

Eerst werden alleen voor 21 oktober 2016 uitgegeven certificaten nog vertrouwd. Vervolgens werd deze groep certificaten via een whitelist beperkt tot de 1 miljoen populairste websites en dit aantal is Google aan het afbouwen. Met de lancering van Chrome 61 in september zal de whitelist worden verwijderd en zullen alle certificaten van WoSign en StartCom een waarschuwing in de browser veroorzaken. Google adviseert webmasters dan ook om dergelijke certificaten met spoed te vervangen om de verstoring voor Chrome-gebruikers te beperken.

Reacties (4)
21-07-2017, 13:10 door Anoniem
Nu zit WoSign wel fout, en ik weet niet of zij een poging hebben gedaan om hun fouten te herstellen, maar wat heeft google dan een macht om een heel bedrijf buiten te sluiten. Dit bedrijf moet dan waarschijnlijk ook de deuren sluiten, of zit ik er naast?
21-07-2017, 20:45 door Anoniem
Door Anoniem: Dit bedrijf moet dan waarschijnlijk ook de deuren sluiten, of zit ik er naast?
WoSign schijnt een redelijk grote speler in China te zijn en daar zal het waarschijnlijk wel actief blijven. Persoonlijk vind ik het jammer, jaren een gratis StartCom certificaat voor een eigen webmail site gebruikt. Ben nu op LetsEncrypt over gestapt maar vind 't niet prettig om een script met root-rechten elke 2-3 maanden te moeten uitvoeren om het certificaat te vernieuwen. Het script update zichzelf (bijna) elke keer en installeert nieuwe Python packages.
22-07-2017, 10:49 door Anoniem
En ik raad af om een geotrust certificaat te gebruikten deze wordt door vele pro firewalls al reclame sites (push verkoop) gezien en bijgevolg geblockeert.
23-07-2017, 08:58 door Anoniem
Door Anoniem:
Ben nu op LetsEncrypt over gestapt maar vind 't niet prettig om een script met root-rechten elke 2-3 maanden te moeten uitvoeren om het certificaat te vernieuwen.
Hoewel je voor het restarten van services allicht root nodig hebt, kan certbot in basis zonder root draaien. Helaas is dat inderdaad niet de default. Een voorbeeld van een configuratie met een minimum aan root-permissies:
https://tim.siosm.fr/blog/2016/07/10/lets-encrypt-safely
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.