image

Firefox gaat certificaatwaarschuwingen beter uitleggen

zondag 8 juli 2018, 08:23 door Redactie, 11 reacties

Firefox gaat gebruikers beter uitleggen waarom ze bij het bezoeken van een website een certificaatwaarschuwing krijgen. Websites die een beveiligde verbinding aanbieden maken hiervoor gebruik van een tls-certificaat. De browser controleert voor het opzetten van de verbinding de geldigheid van het certificaat is. Als er een probleem wordt aangetroffen geeft de browser een waarschuwing.

Certificaatwaarschuwingen kunnen voor verschillende redenen worden gegeven, zoals de tijd van de computer die niet goed staat ingesteld of een verlopen certificaat. Het kan echter ook gaan om een man-in-the-middle-aanval waarbij een aanvaller via een malafide tls-certificaat gegevens van de gebruiker probeert te stelen. Firefox zal nu beter aan gebruikers uitleggen wat het exacte probleem is, wat ze eraan kunnen doen en de gebruiker een optie bieden om de pagina te verlaten. De nieuwe waarschuwing moet in Firefox 63 verschijnen, die voor 23 oktober gepland staat.

Image

Reacties (11)
08-07-2018, 09:33 door Anoniem
Ze hebben het nog nooit voorelkaar gekregen om certificaten leesbaar of op andere wijze nuttig te laten zien. Sterker, ze krijgen het niet eens voorelkaar om duidelijke foutmeldingen voor onbereikbare servers te laten zien. Of op enigszins nuttige wijze een download te laten aftellen.

Er zijn wel meer browsermakers die dat ook niet kunnen, maar we hebben het over firefox. Dus laat ze maar lekker proberen, maar ik verwacht er niet veel van.
08-07-2018, 10:21 door Anoniem
Ik krijg al een tijdje géén verbinding met de site :https://forum.ubuntu-nl.org. Dit is een onderdeel van Firefox.
Vreemd genoeg,Ik heb nog geen certificaat gezien,ook GEEN VERBINDING met de bovengenoemde site.Bestaat het nog wel?
08-07-2018, 13:35 door broodheer,lekkereten
Ik probeerde al enige tid in te loggen op HTTPS://FORUM.Ubuntu-NL.ORG.Dit is een onderdeel van Firefox/Linux/ubuntu.Dit lukt mij niet en krijg géén verbinding met de site van het Firefox/Linux platform.
Kijk ik naar de certificaat info dan zie ik: Website én eigenaar NIETS ingevuld.Ben ik te vroeg om certificaat te mogen verwachten?
Groet van Linux/Ubuntu gebruiker.
08-07-2018, 13:42 door broodheer,lekkereten
Reactie van 10.21 uur door anoniem én deze hierboven zijn zelfde verzender,ik ging ervan uit ANONIEM niet geplaatst zou worden.
In vind het correct dit toch even vermelden.Groet,Broodheer/anoniem.
08-07-2018, 15:22 door Goeroeboeroe
ubuntu.;org.nl wordt gehost door de HCC, en die hebben problemen vanwege een ddos:
https://gathering.tweakers.net/forum/list_messages/1863625

Wat ik persoonlijk belangrijker vindt dan een betere melding voor certificaten: als je 'n site via 'n https-verbinding bezoekt en op die site worden onderdelen (van andere sites) via een http-verbinding geladen, dan zie je die soms gewoon niet, zonder enige melding.
Pas bij het klikken op de groen padlock zie je dat onderdelen worden geblokkeerd.
Ik begrijp niet dat ze dat niet gewoon met 'n andere padlock aangeven, zodat je weet dat er dingen worden geblokkeerd. Overigens kun je in Firefox niet zien, wat er geblokkeerd wordt. Ook niet in de developer tools. Chrome blokkeert op dezelfde wijze (zonder melding) onderdelen, maar daar kun je in ieder geval in de developer tools nog zien, wát er wordt geblokkeerd.
08-07-2018, 15:26 door Anoniem
Door Anoniem: Ik krijg al een tijdje géén verbinding met de site :https://forum.ubuntu-nl.org. Dit is een onderdeel van Firefox.
Vreemd genoeg,Ik heb nog geen certificaat gezien,ook GEEN VERBINDING met de bovengenoemde site.Bestaat het nog wel?

Deze site is voor voor mij nu (zon 15:20) ook onbereikbaar .

Er komt helemaal geen verbinding tot stand .

Traceroute timeout' in 'netwerk.hobby.nl ' - dat blijkt het netwerk van de HCC te zijn.
Waarschijnlijk is de oorzaak de cyberaanval op HCC. zie https://www.hobby.nl/
08-07-2018, 15:59 door Anoniem
Hier ben ik heel blij mee. Het zal niet gemakkelijk zijn om dat beter te implementeren. Maar de bestaande schermen zijn een ramp. Het is me al een paar keer overkomen. Iets te enthousiast een site verhuisd. Het domein gepoint. DNS lijkt prima te staan. Snel de https erop. Hier werkt alles prima. Groen slotje en zo. Ook in de browser op mijn telefoon mijn telefoon.

Dan belt er iemand de volgende dag dat er zo een paniek scherm staat. Blijkt dat bij het aanmaken van het certificaat de DNS nog niet overal gepropageerd was.

Want dat scherm, ook in Chrome, dan de hele nacht heeft staan roepen bij gebruikers is: Gevaarlijk! Hackers! De Russen komen! Kruip achter de bank! Met snel even een nieuw certificaat aan te maken los je dat wel op. Maar als je veel gebruikers hebt, dan liggen die voorlopig achter de bank. Die zul je niet snel meer terug zien.

Ok. Ik weet het nu. En hoe ik dat kan voorkomen. Het was wel vervelend dat al die browsers me gelijk voor gevaarlijke gek gingen uitmaken. Zonder verdere uitleg.

Het zelfde geldt trouwens voor dat (groene) slotje. Dat geeft dan omgekeerd weer niet altijd een correct gevoel van veiligheid. Ergens een toelichting dat ook een HTST verbinding nog geen beveiliging geeft tegen malware op uw apparaat, of de server waarmee u contact legt, zou al wat eerlijker zijn. Ook vervelend voor mij, misschien, als een gebruiker gaat mailen wat ik allemaal dan doe om geen rommel op mijn server te hebben. Maar daar antwoord ik graag op.

Zoals die meldingen nu nog in de browsers komen vind ik eigenlijk lasterlijk. Zowel dat paniek scherm, als het groene slotje.

Vooral die in Chrome. Want die firma is zelf een veel groter "potential security risk". En laat potential maar weg. Want als ik gewoon google.com intik, dan krijg ik zulke meldingen dus niet. Of als ik mijn Android telefoon opstart.

Hulde aan Firefox om daar verbetering in aan te brengen.
08-07-2018, 16:01 door Bitwiper - Bijgewerkt: 08-07-2018, 16:04
Zoals Goeroeboeroe schrijft, en ik vond via Google: site:ubuntu-nl.org
Op de vierde plaats bij mij:
Onze sponsoren | Ubuntu loco Nederlands
https://www.ubuntu-nl.org/partners/
De Ubuntu-NL website wordt gehost door de HCC. De HCC is dé ontmoetingsplaats voor mensen met een ...
De HCC is inderdaad nog aan het opkrabbelen van de "cyberaanval" afgelopen week (zie https://www.security.nl/posting/568884/HCC%3A+Geen+persoonsgegevens+gestolen+bij+%22zware+cyberaanval%22), vermoedelijk is daarom deze site niet bereikbaar.

Waarop je baseert dat deze site "onderdeel van Firefox" zou zijn, weet ik niet. Met een domeinnaam als ubuntu-nl.org lijkt mij dit ook geen officiële Ubuntu site, maar indien deze daadwerkelijk door HCC gehost wordt, zal de site hoogstwaarschijnlijk te goeder trouw zijn.

Off-topic: bij het copy-pasten vanuit Google lukte het mij aanvankelijk niet om de URL clickable te maken. Hieronder staan de gekopieerde versie en een handmatig overgetikte URL, beide voorzien van correcte "url" tags voor dit forum:
https://www?.ubuntu-nl.org/partners/
https://www.ubuntu-nl.org/partners/
Je kunt de tags zien als je op "Reageer met quote" klikt. Het -onzichtbare- verschil zit hem erin dat er tussen de laatste w en de eerste punt een onzichtbaar karakter zit. Het nut daarvan ontgaat me, want als ik de volgende URL (eveneens met hetzelfde onzichtbare karakter tussen w en punt) in de URL balk van m'n browser plak en op Enter druk, werkt dat wel gewoon:
https://www?.ubuntu.com/
Hieronder exact dezelfde URL met dat onzichtbare karakter verwijderd:
https://www.ubuntu.com/
Heeft iemand een idee waarom Google dit soort vreemde trucs uithaalt? Ook ben ik benieuwd of je wellicht een DNS-entry voor een domeinnaam met zo'n karakter kunt registreren, want dan is spoofing (en een bijbehorend certificaat aanvragen) wellich mogelijk...

Aanvulling: in de editor en preview pagina van security.nl was er niks te zien, maar na posten zie ik dat er een vraagteken is verschenen! Ik laat bovenstaande tekst toch maar staan, want fishy is het wel wat Google doet...
09-07-2018, 15:05 door Anoniem
Door Anoniem: Ik krijg al een tijdje géén verbinding met de site :https://forum.ubuntu-nl.org. Dit is een onderdeel van Firefox.
Vreemd genoeg,Ik heb nog geen certificaat gezien,ook GEEN VERBINDING met de bovengenoemde site.Bestaat het nog wel?
Ubuntu NL ligt er uit. http://www.ubuntu-be.org/nl doet het wel
09-07-2018, 16:51 door Anoniem
Ik heb de indruk dat weinig Firefox /Ubuntu gebruikers ,gezien de enkele reacties,de informatieve site van Security.NL lezen.
groet,
09-07-2018, 19:22 door Anoniem
Door Anoniem: Ik krijg al een tijdje géén verbinding met de site :https://forum.ubuntu-nl.org. Dit is een onderdeel van Firefox.
Vreemd genoeg,Ik heb nog geen certificaat gezien,ook GEEN VERBINDING met de bovengenoemde site.Bestaat het nog wel?

Ubuntu heeft niets te maken met Firefox. Het een is een open source besturingssysteem van Canonical, het ander een open source webbrowser van Mozilla. Firefox wordt standaard meegeleverd met de meeste desktop-distributies van Ubuntu, maar daar houden de overeenkomsten wel mee op.

Het zou mij niet verbazen als ubuntu-nl.org ook helemaal niets met Ubuntu of Canonical te maken heeft, maar gewoon door een derde partij is opgezet, en dat die nu problemen heeft, of domweg de stekker eruit heeft getrokken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.