Windows 10 gaat WoSign- en StartCom-certificaten blokkeren
Windows 10 zal vanaf volgende maand nieuwe certificaten van de Chinese certificaatautoriteiten WoSign en StartCom blokkeren, zo heeft Microsoft aangekondigd. Eerder kondigden Google en Mozilla dezelfde maatregel al aan. Volgens Microsoft hebben WoSign en StartCom zich niet aan de standaarden van het Trusted Root Program van Microsoft gehouden.
Zo is er gefraudeerd met de uitgiftedatum van sha-1-certificaten, zijn er fouten gemaakt bij het uitgeven van certificaten, zijn er onbedoeld certificaten ingetrokken, is er met dubbele certificaatserienummers gewerkt en zijn meerdere regels van het CA/Browser Forum overtreden. Het CA/Browser Forum is een consortium van certificaatautoriteiten, ontwikkelaars van besturingssystemen en browserontwikkelaars die richtlijnen voor ssl-certificaten en 'code signing' certificaten opstellen.
Certificaatautoriteiten spelen een zeer belangrijke rol bij het vertrouwen op internet. De certificaten die ze uitgeven worden onder andere gebruikt voor het opzetten van versleutelde verbindingen en het identificeren van websites. Onterecht uitgegeven certificaten kunnen door aanvallers voor allerlei aanvallen worden gebruikt, zoals man-in-the-middle-aanvallen en phishing.
Vanwege de werkwijze van de Chinese certificaatautoriteiten en de gevolgen die dit voor de veiligheid van gebruikers had kunnen hebben heeft Microsoft besloten het vertrouwen in WoSign en StartCom en hun certificaten op te zeggen. De maatregel gaat echter alleen voor nieuwe certificaten gelden die na 26 september zijn uitgegeven. Windows 10-gebruikers krijgen bij dergelijke certificaten, bijvoorbeeld bij het bezoeken van websites, een certificaatwaarschuwing te zien. De al uitgegeven certificaten van WoSign en StartCom zullen na verloop van tijd vanzelf niet meer geldig zijn en een waarschuwing veroorzaken.
Ja je kunt in veel gevallen letsencrypt gebruiken, maar niet altijd.
Ja je kunt in veel gevallen letsencrypt gebruiken, maar niet altijd.
En dat is mooi, want iets van waarde kost nou eenmaal geld.
https://cheapsslsecurity.com/ heeft ze. Als je de laatste maanden hebt moeten renewen en je hebt firefox of chrome dan wist je al dat startcom niet meer ging werken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
