Google waarschuwt websites met Symantec-certificaten
Google heeft websites die gebruik maken van certificaten die door Symantec zijn uitgegeven opnieuw gewaarschuwd omdat deze certificaten straks niet meer door Chrome zullen worden vertrouwd. De plannen van Google om dit te doen waren eerder al bekend geworden, maar de internetgigant heeft die nu breder uiteengezet.
Begin dit jaar ontdekte Google dat certificaatautoriteiten die onder Symantec vallen, waaronder Thawte, VeriSign, Equifax, GeoTrust en RapidSSL, meerdere certificaten hadden uitgegeven die niet aan de richtlijnen van het CA/Browser Forum voldeden. Dit is een consortium van certificaatautoriteiten en softwareontwikkelaars die regels voor certificaten opstellen. Certificaten, die onder andere voor versleutelde verbindingen tussen websites en bezoekers worden gebruikt, spelen een belangrijke rol op internet. Het overtreden van deze regels wordt Symantec dan ook zwaar aangerekend.
Verder onderzoek wees uit dat Symantec ook nog eens verschillende organisaties de mogelijkheid had gegeven om certificaten uit te geven zonder gepast of noodzakelijk toezicht en wist van beveiligingstekortkomingen bij deze organisaties. In 2015 werden ook al problemen met door Symantec uitgegeven certificaten ontdekt. Volgens Google is er dan ook sprake van een patroon waardoor al uitgegeven en nog uit te geven certificaten van het beveiligingsbedrijf niet meer te vertrouwen zijn.
Met de lancering van Chrome 66 op 17 april volgend jaar zal Chrome Symantec-certificaten die voor 1 juni 2016 zijn uitgeven niet meer vertrouwen. Websites die van dergelijke certificaten gebruikmaken moeten een ander certificaat regelen, anders zal de website bij Chrome-gebruikers voor een certificaatwaarschuwing zorgen. Vanaf 1 december 2017 zal Symantec het uitgeven en beheer van certificaten aan DigiCert overdragen. Certificaten die vanaf dat moment van de oude Symantec-infrastructuur afkomstig zijn worden dan niet meer vertrouwd. Het gaat dan om certificaten die aan de Symantec-root zijn gekoppeld. In oktober 2018 zal Chrome 70 verschijnen die het vertrouwen in certificaten afkomstig van de oude Symantec-infrastructuur volledig opzegt.
Wanneer gaan we dat google nu eens opsplitsen?
Met deze actie beschermt Google zich en deels Symantec tegen financieel juridische acties van Symantec, hun subbedrijven, certificaateigenaren en hun klanten omdat de Symantec certificaten plotseling waardeloos zijn geworden.
De nieuwe infrastructuur maakt de oude infrastructuur niet opeens onbetrouwbaar, die is al onbetrouwbaar genoeg om zoals aangekondigd in de ban te doen. Door de onbetrouwbare infrastructuur pas na maanden als onbetrouwbaar te willen behandelen kan Google aantonen dat Symantec en de klanten tijd genoeg hadden om nieuwe certificaten te nemen.
Als Google de onbetrouwbare certificaten van Symantec direct had geblokkeerd had het wel om vertrouwen gegaan maar zouden enkele miljoenen certificaatklanten direct dure certificaten waardeloos zien worden, wat tot grote claims bij Symantec en Google zou leiden en zou er een grote twijfels kunnen ontstaan over de betrouwbaarheid van certificaten in het algemeen.
Browsers, CA bedrijven, accountants, certificaatkopers hebben allemaal groot belang bij de financiele waarde van het CA systeem terwijl meer dan 90% van de gebruikers niet weet waarom ze die slotjes in hun browser vertrouwen. Browsers verliezen waarde als gebruikers websites niet meer kunnen bezoeken, certificaatkopers verliezen geld en klanten als browsers aangeven dat de site van een koper onbetrouwbaar is, CA bedrijven en accountants verliezen waarde als browsers ze niet meer accepteren, certificaatkopers hun geld terug eisen en nieuwe klanten weg blijven. Met name de CA bedrijven en accountants kunnen zich vanwege hun financiele positie veel permiteren ten opzichte van de anderen. Er is in het vertrouwen geen evenwicht en dus is er slechts een waan van vertrouwen. Een die een paar miljard waard is en niemand wil daarin financieel verlies leiden als een CA of accountant zijn werk niet doet.
Het staat de certificaat authoriteiten toch vrij om dit zelf te doen ? Indien certificaten niet te vertrouwen zijn, dan moet je ze als zodanig ook beschouwen. Anders hebben certificaten geen enkel nut meer. Laat Symantec zelf verantwoording nemen zou ik zeggen.
Reden te meer om certificaten van Symantec niet meer te vertrouwen. Symantec moet dit op orde brengen, of de status van CA verliezen.
Wanneer gaat Symantec verantwoordelijkheid nemen ?
Dat zou ik wel eens van iemand willen horen, die weet van de hoed en de rand.
Volgens mij zit de internet infrastructuur zich geconfronteerd met de grootste vertrouwenscrisis ooit
en heus niet alleen voor betaalde en gratis certificaten,
maar nog veel meer, nu nu pas in volle omvang blijkt,
hoe door en door gecompromitteerd het hele systeem "gehouden wordt".
luntrus
Dat zou ik wel eens van iemand willen horen, die weet van de hoed en de rand.
Volgens mij zit de internet infrastructuur zich geconfronteerd met de grootste vertrouwenscrisis ooit
en heus niet alleen voor betaalde en gratis certificaten,
maar nog veel meer, nu nu pas in volle omvang blijkt,
hoe door en door gecompromitteerd het hele systeem "gehouden wordt".
luntrus
Het gratis certificering systeem is bedacht zodat iedereen die een website heeft identificeerbaar is. En als 99% procent van het internet geencrypt is, men je dingen kunt forceren te doen onder de dwang dat je anders gecertficate verlening krijgt.
Denk aan dus meer informatie verstrekken, letsencrypt wil nu al je email adres delen met eff voor commerciele doeleinden.
Opzich is dit een mooie en correcte denkwijze, maar ik denk dat je te goed gelovig bent, of niet snapt hoe het werkt.
Symantec gaat echt geen miljoenen(?) omzet aan de kant zetten, omdat ze zelf vinden dat ze er een potje van maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
