Privacy
- Wat niemand over je mag weten
Ocsp en Google
24-12-2017, 18:47 door Anoniem, 7 reacties
Ocsp is een manier om te controleren of het certificaat is ingetrokken of niet.
Het kan via de server (ocsp-stapling) maar dat ondersteunen veel servers niet.
Daarom gebeurt dit nog vaak via je browser.
De browser maakt dan een http-verbinding (niet https) met een ocsp-server of een bepaald certificaat is ingetrokken.
Het is geen plain informatie, eerder een string die aangeeft om welk certificaat het gaat.
Maar dan kan de ocsp-server dus weten welke server je van plan bent te bezoeken, en tracking is mogelijk.
Nu heb ik me daar nooit zo druk over gemaakt, maar zonet zag ik toevallig netwerkverkeer voorbijkomen:
En het is dus vaak niet standaard geblokkeerd in adblokkers omdat het een ocsp-server is.
Ik dacht ik ga jullie toch even informeren. Misschien wil je dat domein handmatig toevoegen om te blokkeren,
maar wel met het risico dat de ocsp-controle van een aantal webservers die clients1.google.com gebruiken dan niet meer werkt. (aan de andere kant: hoe vaak komt het nu voor dat je een website met een gecompromitteerd certificaat probeert te bezoeken? Dat heb ik sinds ocsp bestaat nog niet één keer meegemaakt. Ik heb de neiging om ocsp maar helemaal te blokkeren. Jij?
Het kan via de server (ocsp-stapling) maar dat ondersteunen veel servers niet.
Daarom gebeurt dit nog vaak via je browser.
De browser maakt dan een http-verbinding (niet https) met een ocsp-server of een bepaald certificaat is ingetrokken.
Het is geen plain informatie, eerder een string die aangeeft om welk certificaat het gaat.
Maar dan kan de ocsp-server dus weten welke server je van plan bent te bezoeken, en tracking is mogelijk.
Nu heb ik me daar nooit zo druk over gemaakt, maar zonet zag ik toevallig netwerkverkeer voorbijkomen:
clients1.google.com
Dit blijkt ook een ocsp-server te zijn. Maar ja, Google?! Wat vind jij ervan?En het is dus vaak niet standaard geblokkeerd in adblokkers omdat het een ocsp-server is.
Ik dacht ik ga jullie toch even informeren. Misschien wil je dat domein handmatig toevoegen om te blokkeren,
maar wel met het risico dat de ocsp-controle van een aantal webservers die clients1.google.com gebruiken dan niet meer werkt. (aan de andere kant: hoe vaak komt het nu voor dat je een website met een gecompromitteerd certificaat probeert te bezoeken? Dat heb ik sinds ocsp bestaat nog niet één keer meegemaakt. Ik heb de neiging om ocsp maar helemaal te blokkeren. Jij?
Reacties (7)
Als ik google naar clients1.google.com dan zie ik klachten van Google Chrome gebruikers over zeer veel verbindingen met die site. Welke webbrowser gebruik je, en weet je zeker dat het om OCSP requests gaat?
OCSP requests gaan, normaal gesproken, naar de OSCP URL die in het certificaat is opgenomen. Ik sluit niet uit dat Chrome dat soort requests voor certificaten, die niet door Google zijn uitgegeven, proxiet via clients1.google.com. Google Chrome gebruiken is natuurlijk wel een keuze die je zelf maakt.
OCSP requests gaan, normaal gesproken, naar de OSCP URL die in het certificaat is opgenomen. Ik sluit niet uit dat Chrome dat soort requests voor certificaten, die niet door Google zijn uitgegeven, proxiet via clients1.google.com. Google Chrome gebruiken is natuurlijk wel een keuze die je zelf maakt.
Hangen er onder "clients1.google.com" niet verschillende functies?
De Ocsp fucntie zie ik in zoekresultaten voorbijkomen als een subdomein.
De Ocsp fucntie zie ik in zoekresultaten voorbijkomen als een subdomein.
clients1.google.com/ocsp
Bitwiper: Welke webbrowser gebruik je, en weet je zeker dat het om OCSP requests gaat?
Firefox gebruik ik, en ja, ik weet het zeker. Kijk hier eens:https://stackoverflow.com/questions/18933928/what-is-clients1-google-com-ocsp
Het is een ocsp responder voor Google certificaten, en dat lijkt me vooral verontrustend voor gebruikers zónder anonimiteits-tools en zonder VPN, dus die gewoon simpel met een browsertje werken, maakt niet uit welke.
Er zijn natuurlijk veel websites met Googlecertificaten. Dat kan ook voor een deel verklaren waarom hij in het begin vaak bleef hangen, de ocsp responder kon natuurlijk eerst de drukte niet aan en raakte overbelast, zoals je wel meer zag toen ocsp zijn intrede deedt. Nu heb je daar niet zoveel last meer van.
Door Anoniem: Hangen er onder "clients1.google.com" niet verschillende functies?
De Ocsp fucntie zie ik in zoekresultaten voorbijkomen als een subdomein.
clients1.google.com is het subdomein van google.com (dus jouw definitie klopt niet)De Ocsp fucntie zie ik in zoekresultaten voorbijkomen als een subdomein.
clients1.google.com/ocsp
Er zou nog wel /ocsp achter kunnen staan, maar dat kon ik niet zien.
Maar ik had ervoor gezorgd dat Firefox alleen https -verbindingen mag maken (poort 443),
en ocsp die vanaf de browser altijd over poort 80 loopt (http) is de enige uitzondering die daarbij ook nog is toegestaan.
Dus het moet wel een ocsp -verbinding zijn volgens mij.
Kun je blokkeren on the fly met bij voorbeeld: https://silentorbit.com/negotiator/
Aanpassen in hostlist als:
Aanpassen in hostlist als:
# Local
127.0.0.1 PDP-8.homeland PDP-8 localhost
# My filters
127.0.0.1 www.google-analytics.com
127.0.0.1 google-analytics.com
127.0.0.1 ssl.google-analytics.com
info credits -> Fandom wikia.127.0.0.1 PDP-8.homeland PDP-8 localhost
# My filters
127.0.0.1 www.google-analytics.com
127.0.0.1 google-analytics.com
127.0.0.1 ssl.google-analytics.com
Door Anoniem: ..........
Aanpassen in hostlist als:
Lijkt me niet ok, wat betekent 127.0.0.1 PDP-8.homeland PDP-8 localhost?Aanpassen in hostlist als:
# Local
127.0.0.1 PDP-8.homeland PDP-8 localhost
# My filters
127.0.0.1 www.google-analytics.com
127.0.0.1 google-analytics.com
127.0.0.1 ssl.google-analytics.com
127.0.0.1 PDP-8.homeland PDP-8 localhost
# My filters
127.0.0.1 www.google-analytics.com
127.0.0.1 google-analytics.com
127.0.0.1 ssl.google-analytics.com
En ik mis meteen al ajax.googleapis.com en wie weet wat nog meer.
En verder toen ik de laatste keer een tijd geleden hostsfile met een nieuwere firefox probeerde, reageerde firefox niet meer op hosts-bestand. Misschien moet je daarvoor wat rommelen in about:config, geen idee, iemand die het weet?
Door Anoniem:
En ik mis meteen al ajax.googleapis.com en wie weet wat nog meer.
En verder toen ik de laatste keer een tijd geleden hostsfile met een nieuwere firefox probeerde, reageerde firefox niet meer op hosts-bestand. Misschien moet je daarvoor wat rommelen in about:config, geen idee, iemand die het weet?
Door Anoniem: ..........
Aanpassen in hostlist als:
Lijkt me niet ok, wat betekent 127.0.0.1 PDP-8.homeland PDP-8 localhost?Aanpassen in hostlist als:
# Local
127.0.0.1 PDP-8.homeland PDP-8 localhost
# My filters
127.0.0.1 www.google-analytics.com
127.0.0.1 google-analytics.com
127.0.0.1 ssl.google-analytics.com
127.0.0.1 PDP-8.homeland PDP-8 localhost
# My filters
127.0.0.1 www.google-analytics.com
127.0.0.1 google-analytics.com
127.0.0.1 ssl.google-analytics.com
En ik mis meteen al ajax.googleapis.com en wie weet wat nog meer.
En verder toen ik de laatste keer een tijd geleden hostsfile met een nieuwere firefox probeerde, reageerde firefox niet meer op hosts-bestand. Misschien moet je daarvoor wat rommelen in about:config, geen idee, iemand die het weet?
Wat dacht je van zijn eigen hostnaam?
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
