image

Mozilla wil werkwijze Symantec niet terugzien bij DigiCert

dinsdag 31 oktober 2017, 14:35 door Redactie, 7 reacties

Mozilla wil de werkwijze, processen en oude infrastructuur van Symantec niet terugzien bij DigiCert als de laatstgenoemde de certificatendivisie van het securitybedrijf overneemt. In augustus maakte Symantec bekend dat het de certificatendivisie aan certificaatautoriteit DigiCert ging verkopen.

De overname zou volgend jaar moeten worden afgerond. Symantec ligt als certificaatautoriteit al enige tijd onder vuur, omdat er zich bij het uitgeven van tls-certificaten aan websites en bedrijven verschillende incidenten hebben voorgedaan. Daarop hebben Google en Mozilla aangekondigd dat ze het vertrouwen in Symantec-certificaten geleidelijk gaan opzeggen. Mozilla houdt de verkoop van de certificatendivisie van Symantec dan ook nauwlettend in de gaten.

"Het zou niet gepast zijn voor een certificaatautoriteit om sancties te ontsnappen door reorganisatie, of het aanschaffen van een andere certificaatautoriteit door fusie en overname, om vervolgens de bedrijfsvoering onder naam van die certificaatautoriteit onveranderd door te laten gaan", zegt Mozilla's Gervase Markham. Hij stelt dat gezien eerdere deals waar Symantec bij betrokken was, het mogelijk is dat een fusie en overname wordt aangekondigd als de overname van partij B door partij A, waarbij de naam van partij A overblijft, terwijl het bedrijf grotendeels door partij B wordt bestuurd.

Markham laat weten dat vertrouwen niet automatisch tussen organisaties kan worden overgedragen. DigiCert had Mozilla dan ook om advies gevraagd over welke zaken ervoor kunnen zorgen dat Mozilla geen vertrouwen in de gecombineerde certificaatautoriteit heeft. Daarop heeft Mozilla vier richtlijnen gepubliceerd. Zo wil Mozilla niet dat het gecombineerde bedrijf voor het uitgeven van tls-certificaten grotendeels gebruik gaat maken van de oude infrastructuur van Symantec .

Mozilla zegt zich ook zorgen te zullen maken als Symantec-personeel hun dagelijkse werkwijze voortzet, zonder getraind te worden in de methoden en cultuur van DigiCert. Ook wil Mozilla niet dat de processen van Symantec de processen van DigiCert gaan vervangen. Als laatste laat Mozilla weten dat het niet de bedoeling is dat Symantec het gecombineerde bedrijf gaat besturen. De beslissing of de gecombineerde certificaatautoriteit door Mozilla zal worden vertrouwd is uiteindelijk afhankelijk van de feiten en het gedrag van het bedrijf, zo laat de opensource-ontwikkelaar weten. Afsluitend merkt Markham op dat Mozilla het recht voorbehoud om organisaties of rootcertificaten uit te sluiten, maar dat er wordt gehoopt dat DigiCert met de richtlijnen uit de voeten kan.

Reacties (7)
31-10-2017, 15:11 door Anoniem
Overal voel je de hand van Google op de achtergrond en de ingezette CA wars.

"Google calls the shots everywhere" met certificaat transparantie,
met het afvoeren van andere zaken uit hun eigen voor-kook-koker.

Alles hobbelt hier graag achter aan alsmede ook de steeds meer op Google Chrome lijkende browsers
als Mozilla's firefox.

Terecht want wiens mono-brood men eet, diens mono-woord men spreekt.
31-10-2017, 16:14 door Anoniem
Door Anoniem: Overal voel je de hand van Google op de achtergrond en de ingezette CA wars.

"Google calls the shots everywhere" met certificaat transparantie,
met het afvoeren van andere zaken uit hun eigen voor-kook-koker.

Alles hobbelt hier graag achter aan alsmede ook de steeds meer op Google Chrome lijkende browsers
als Mozilla's firefox.

Terecht want wiens mono-brood men eet, diens mono-woord men spreekt.

Hoezo? Lijkt mij toch goed dat de slechte manier van werken niet word doorgezet na de overname van de certificaten divisie van. Wat heeft dit met Google te maken? Lekker bashen op Google weer neem ik aan. Altijd constructief.
31-10-2017, 19:22 door Anoniem
Scheve drukakelarij van mozilla : laat zich eens druk gaan maken over de niet te tellen massale fouten in eigen beleid.

Who the # cares om de drukmakerij van een clubje die het niet eens lukt om zelf overeind te blijven en bijna de afgrond instort omdat ze de gebruikers die ze nog had allemaal wegjaagt?
Als straks het laatste restje firefox verruilt voor iets serieus dan doet het er definitief helemaal niet meer toe wat mozilla vindt en nu eigenlijk ook al niet meer.
Laat mozilla zich maar niet zo druk maken om anderen, nogal hypocriet.
01-11-2017, 06:57 door Anoniem
Waarom is men zo gevoelig voor Google bashing als Google tracking en profiling en samenwerking met de voornaamste westerse veiligheidsdiensten (eventueel onder gag-order) de grootste privacy en totale surveillance risico's vormen voor de eindgebruiker. Door hun monocultuur op de infrastructuur en in de grote browsers (api-engine en browser engine) en nu weer standaarden voor CA validatie vormen zij het aanvalsoppervlak bij uitstek en het grootste cyberrisico.

Mozilla als een soort Google kloon doet aan dit alles mee. Degenen, die dit niet willen (in)zien, reageren net zo als de gemiddelde Amerikaan, die ook terechte kritiek op hun grote technische spelers niet kunnen velen, maar niets doen om de bestaande onveiligheid op de infrastructuur echt aan te pakken. Mag terechte kritiek hier niet meer of is men niet op de hoogte van de echte 'geborkte' situatie? Waar zijn de idealisten van het eerste uur? Een F.R.A.V.I.A, Stallman, e.d.
01-11-2017, 07:15 door Anoniem
Symantec is een probleem, maar wat dacht je van onze eigen Roverheid die ook CA mag spelen? Dat is een veel groter probleem!
01-11-2017, 09:49 door Anoniem
Door Anoniem: Waarom is men zo gevoelig voor Google bashing als Google tracking en profiling en samenwerking met de voornaamste westerse veiligheidsdiensten (eventueel onder gag-order) de grootste privacy en totale surveillance risico's vormen voor de eindgebruiker.

Gaat niet om de gevoeligheid voor Google bashen of niet, het gaat erom dat dit artikel niets met Google te maken heeft opzich. Een onderbouwde discussie is goed, maar constant hameren op het feit dat Google evil is en dingen als Roverheid geven wat aan hoe verziekt deze community is wat dat betreft, er kan geen normale discussie meer worden gestart over het onderwerp van het artikel zonder "Roverheid, Micro$oft, Evil Google" dat soort dingen. Gewoon jammer, thats all.
01-11-2017, 12:18 door Anoniem
@ Anoniem 09:49

Maar laten we dan eens fundamenteel de discussie aangaan over de brakke infrastructuur van dit moment en waarom daar maar mondjesmaat of m.i. te weinig en te laat verandering in komt.

Als ik de situatie zo bekijk vanuit de achtergrond van 14 jaar website foutenjager, dan is er nog wel het een en ander mis.

Het bekende riedeltje maar weer eens opdreunen. Oude software, af te voeren software, nog erger "verlaten" software, hardware met verkeerde configuraties, CMS ellende ook qua settings (user enumeration, directorly listing), privacy risico's third party tracking, fingerprinting, geen same origin regel gehandhaafd, geen SRI hashes gegenereerd, geen monitoring, geen security headers ingesteld, geen automatische HTTP HTTPS redirection, certificaten als root op de server, zwakke cyphers, af te voeren random kwetsbare encryptiesleutel generatoren, talloze achtergehouden "Schwachstellen", slechte veiligheidopleiding van developers en "gewone" IT. Minimaal veiligheid presenteren bij CDNs, maar wel de volle "pot" willen vangen, naamserver ellende, DNS problematiek, geen nieuwe technologieën of "best practices toegepast" en nog een hele lijst met pure ook veelal code ellende meer. Lees er StackOverflow maar eens op na of ga zelf eens fuzzen met een unpacker... Oh en ik vergeet natuurlijk het opzettelijke steeds verkassende cybercrime circus. Maar dat was de discussie niet.

Alle veel gebashte Silicon Valley namen weggelaten en dan nu dan de hoofdvragen. Waarom zitten we hier nog mee? Waarom worden er geen veiligheidseisen gesteld? Waarom ontbreekt behalve bij technische IT het broodnodige inzicht? Waarom mag de amateur maar aan rommelen met zijn brakke webshoppie en zijn slecht bijgehouden op php gebaseerde brakke content management software? Waarom nog jQuery met af te voeren bibliotheken als engelse drop - all sorts?

Een kernproblematiek waar ik sinds het ontstaan van Internet en het nog niet uitgetest loslaten van kapstoktalen en protocollen en standaarden op de mensheid, maar bar weinig fundamenteels over hoor. Lijkt wel of niemand de kat de bel aan wil binden. Waar is men bang voor? Wie houdt wie voor de gek? En wie profiteren hier dik van?

De globale Internet infrastructuur veel eerder een volop door gestopt en omgeboord lappendeken met vele lagen, waar de cybermotten steeds weer nieuwe gaten in weten te vreten.

Zien we dat dan niet met zijn allen? Dit is toch een "security" site?

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.