image

Mozilla stelt blokkeren van Symantec-certificaten uit

donderdag 11 oktober 2018, 09:56 door Redactie, 10 reacties

Mozilla heeft besloten om het blokkeren van Symantec-certificaten in Firefox uit te stellen omdat nog duizenden populaire websites hier gebruik van maken. Het gaat om de certificaten die websites gebruiken voor het opzetten van een beveiligde verbinding en om zich tegenover gebruikers te identificeren.

Vanwege verschillende beveiligingsincidenten met het uitgeven van deze certificaten door Symantec hebben browserontwikkelaars besloten het vertrouwen in deze certificaten op te zeggen. Dit vindt gefaseerd plaats, waarbij eerst alle Symantec-certificaten die voor 1 juli 2016 zijn uitgegeven niet meer worden vertrouwd. Dat is nu al het geval in Chrome, Firefox en Safari.

Oorspronkelijk was Mozilla van plan om alle resterende Symantec-certificaten met de lancering van Firefox 63 op 23 oktober te blokkeren. Gebruikers zouden dan bij websites die nog van deze certificaten gebruikmaken een certificaatwaarschuwing te zien krijgen. Uit onderzoek blijkt dat nog meer dan 1 procent van de Top 1 miljoen populairste websites nog steeds niet de Symantec-certificaten heeft vervangen.

Vanwege de impact die dit zal hebben voor Firefox-gebruikers, die bij meer dan 10.000 websites een certificaatwaarschuwing zouden krijgen, heeft Mozilla ervoor gekozen het vertrouwen in de Symantec-certificaten op een later moment op te zeggen. De planning is nu om de aanpassing met Firefox 64 door te voeren, die voor 11 december gepland staat.

Image

Reacties (10)
11-10-2018, 10:22 door Anoniem
Oftewel, de markt bepaalt de veiligheid, de websites die niet over zijn gegaan interesseert het verder weinig tot niets en we hobbelen gewoon verder. Jammer.
11-10-2018, 10:24 door Bitwiper - Bijgewerkt: 11-10-2018, 10:25
Wat een ongeloofwaardig verhaal.

Uit https://blog.mozilla.org/security/2018/03/12/distrust-symantec-tls-certificates/:
12 maart 2018, door Kathleen Wilson: Mozilla telemetry currently shows that a significant number of sites – roughly 1% of the top one million – are still using TLS certificates that are no longer trusted in Firefox 60.

En ruim 7 maanden later, uit https://blog.mozilla.org/security/2018/10/10/delaying-further-symantec-tls-certificate-distrust/:
10 oktober 2018, door Wayne Thayer: While the situation has been improving steadily, our latest data shows well over 1% of the top 1-million websites are still using a Symantec certificate that will be distrusted.

Gewoon de stekker eruit trekken, DigiCert stelt gratis vervangende certificaten beschikbaar. Straffen uitstellen om flauwe kul redenen maken je totaal ongeloofwaardig.
11-10-2018, 10:48 door beatnix
blijkt wel weer dat OCSP bagger is qua realistische beveiliging. enig idee hoe makkelijk een mitm certificaatcontroles gehijacked worden? eerder extra hackmogelijkheid dan sterkere beveiliging net als spf bij mailservers.
11-10-2018, 13:23 door Joep Lunaar
@alle klagers, verontwaardigden en weters-hoe-het-simpel-moet:
Het verwijderen van een root certificaat is makkelijker gezegd dan gedaan, het is een ingewikkelde afweging van belangen. Het belang van veiligheid, zeer belangrijk, v.s. belangen van gebruikers en huidige houders van de betroffen certificaten, het belang van continuïteit. Uiteindelijk worden de Symantic certficitaten wel ont-vertrouwd, maar pas wat later. Een makkelijke en perfecte uitkomst is er niet, het is onmogellijk de gevolgen van eerdere fouten (i.c. van Symantec), ook na ontdekking, te ontlopen, het is een erfenis waar we zo snel mogelijk vanaf willen, maar niet zomaar vanaf zijn.
11-10-2018, 15:14 door Anoniem
Door Joep Lunaar: @alle klagers, verontwaardigden en weters-hoe-het-simpel-moet:
Het verwijderen van een root certificaat is makkelijker gezegd dan gedaan, het is een ingewikkelde afweging van belangen. Het belang van veiligheid, zeer belangrijk, v.s. belangen van gebruikers en huidige houders van de betroffen certificaten, het belang van continuïteit. Uiteindelijk worden de Symantic certficitaten wel ont-vertrouwd, maar pas wat later. Een makkelijke en perfecte uitkomst is er niet, het is onmogellijk de gevolgen van eerdere fouten (i.c. van Symantec), ook na ontdekking, te ontlopen, het is een erfenis waar we zo snel mogelijk vanaf willen, maar niet zomaar vanaf zijn.

Het geeft duidelijk aan hoe slecht het hele idee van hierarchisch vertrouwen was en is... en al helemaal het idee dat al die browsers al die root certificaten embedded hebben in plaats van dat dat ook ergens "op het netwerk" geregeld is, zodat ze gewoon ingetrokken kunnen worden zonder software update.

Als je maar lang genoeg treuzelt verlopen die certificaten natuurlijk vanzelf, or worden ze nog steeds verlengd door Symantec??
11-10-2018, 15:24 door Anoniem
@Joep Lunaar: Als DigiCert gratis vervangende certificaten beschikbaar stelt, dan is er geen excuus. Gewoon vervangen die handel. Und schnell..!
11-10-2018, 22:26 door Anoniem
Als een browser je site met zo een groot plakkaat als gevaarlijke gek betitelt, is dat dan niet een beetje middeleeuws schandpaal-achtig (a.k.a. overdreven kinderachtig), en daarnaast niet flagrante laster? Want een onveilige https van een bank is wel wat anders dan een mogelijk niet helemaal veilige https verbinding met een site voor fanatieke japanse bloemschikkers. Zou ik toch denken. Te meer omdat vanwege ranking, en moreel meer en meer oordelende browsers (over wat wel en niet geschikt is voor de domme kindertjes om te zien, inclusief ingebakken HTST databases, en owee als je een subdomeintje niet op orde hebt...) het nu lijkt dat na Mark Zuckerberg de browsers zich gaan storten op parental guidance.

Het ruikt naar techneutenmachtshunkering. We fukken je site want dan had je maar over de bloktsjeen moeten op de hoogte zijn met je stomme japanse bloemschikkers site. Aan de schandpaal ermee. Zet het maar zo groot mogelijk op al die schermen!

Volgens mij is dat laster. En aantasting van goede naam. En nog eer paar dingen. Niet dat je daar in Europa gelijk miljoenenclaims voor neer kan leggen, want zo werkt ons recht ook niet. Maar dat op eigen initiatief volbehangen van browsers met schermen als "waarschuwing, anaconda's en vogelspinnen en je bent stom als je hier klikt om toch door te gaan" doet mij denken aan idioten uit het verleden die "Microsoft Certified" waren met nog een oom die bij IBM werkte, en dus per definitie alles beter wisten. En dan vooral hoe dom de gebruiker wel niet is. Begrijpelijk voor dikke nerds met een bril en een joggingpak die verder op straat niet echt in de mark liggen. Maar zet zulke grote meldingen dan maar op je eigen scherm. Niet op het mijne.

Het lijkt wel of je per ongeluk het Pentagon hebt gehackt, als ik zo naar dat screenshot hierboven kijk!
14-10-2018, 13:47 door Anoniem
Hoe moet je anders de schade voor 6 internationale grote mediaspelers beperken tegen de aanstormende concurrentie van alternatieve websites en de keuzen van het publiek zelf? Je zult toch iets moeten verzinnen om je mono-cultuur en absolute macht te kunnen handhaven.

Alles wat in de weg zit dus daarom bestempelen tot fake news en onbetrouwbaar. Kan dat niet dan ga je ze afkraken op ontbrekende techniekstandaarden en zogenaamde "best policies". Anders lukt het wel via EU Acta2 met art. 11 en 13 en link belasting om die lastige kleine vliegen weg te krijgen. Desnoods door naar China Mainland controle. Iets minder subtiel, dat wel en een risico dat de gebruikers toch nog reageren en het niet zomaar over zich heen laten komen. Hegeliaans heet dat, dat soort van bewegingen.

Er valt altijd wel een stok te vinden om de hond te slaan. Daarom hangen appels ongeplukt in de boomgaard en verkoopt de super appels van het jaar daarvoor uit de koeling. Unilever heeft maar een paar grote spelers binnen met een heel merken scala. Zo blijft de illusie in stand, dat we nog iets te kiezen hebben en niet alles al flink door ons strot wordt gestampt als appelmoes.

Google, facebook etc. zijn monopolisten in dienst van al het bovenstaande. Ze helpen er graag aan mee en veel Internetbewoners hebben het echt nog steeds niet helemaal door. Jammer dan, slaap verder als Rip van Winkle, als je echt wakker wordt is het echt al (veel te) laat.

luntrus
14-10-2018, 21:51 door Anoniem
Zou de uitstel procedure ook niet ingegeven zijn om de eventuele schade van de gehele operatie wat beter in de hand te houden. Google heeft roeiboten losgemaakt destijds, maar daarbij wel gekeken naar het te kiezen tijdpad om niet te veel certificaatgebruikers tegen de haren in te strijken door hen op hoge kosten te jagen. Zo snijdt het mes steeds aan twee kanten.

Ja de bekende Google strategie der flagellanten, heel minutieus en sluipend dichter naar het doel dat ze willen bereiken

Belangrijkste vraag voor ons is: "Worden het web en de onderhavige websites er echt veiliger door?".

Doe eens een testje met webhint en een High-Tech Bridge scan en zie wat er nog te doen overblijft.

luntrus
15-10-2018, 12:49 door Anoniem
Door Anoniem:
Door Joep Lunaar: @alle klagers, verontwaardigden en weters-hoe-het-simpel-moet:
Het verwijderen van een root certificaat is makkelijker gezegd dan gedaan, het is een ingewikkelde afweging van belangen. Het belang van veiligheid, zeer belangrijk, v.s. belangen van gebruikers en huidige houders van de betroffen certificaten, het belang van continuïteit. Uiteindelijk worden de Symantic certficitaten wel ont-vertrouwd, maar pas wat later. Een makkelijke en perfecte uitkomst is er niet, het is onmogellijk de gevolgen van eerdere fouten (i.c. van Symantec), ook na ontdekking, te ontlopen, het is een erfenis waar we zo snel mogelijk vanaf willen, maar niet zomaar vanaf zijn.

Het geeft duidelijk aan hoe slecht het hele idee van hierarchisch vertrouwen was en is... en al helemaal het idee dat al die browsers al die root certificaten embedded hebben in plaats van dat dat ook ergens "op het netwerk" geregeld is, zodat ze gewoon ingetrokken kunnen worden zonder software update.

Als je maar lang genoeg treuzelt verlopen die certificaten natuurlijk vanzelf, or worden ze nog steeds verlengd door Symantec??

Nee, ze worden niet meer verlengd. Je zult je tot Digicert moeten wenden, zij hebben de portefeuille van Symantec overgenomen. Overigens is dit al een jaar zo. Ik had vorig jaar bij een overstap naar een andere certificaat leverancier ook last van een enorme verwerkingsachterstand, doordat men bezig was deze vervangingsslag te maken. Het hele concept achter een hiërarchie is prima. Het kan ook heel snel (kijk maar naar het Diginotar drama) Blijkbaar wordt de vertrouwensbreuk van Symantec niet als zo heftig ervaren als bij voornoemde. Verder heb je - onder windows dan toch - ook de CTL Update, dus er is ook gewoon een proces in place om een gecompromiteerde root te kunnen revoken.

Met alle respect. Symantec heeft hierover heel actief bericht, dus elke website beheerder zou er bekend mee moeten zijn. Als je het niet hard afdwingt, gebeurt er ook niet veel. Uitstel is hier m.i. een gemiste kans.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.