image

Omstreden securitybedrijf wil eigen rootcertificaat in Firefox

maandag 25 februari 2019, 10:05 door Redactie, 19 reacties
Laatst bijgewerkt: 25-02-2019, 10:40

Een omstreden securitybedrijf uit de Verenigde Arabische Emiraten wil een eigen rootcertificaat in Firefox, tot grote zorgen van de Amerikaanse burgerrechtenbeweging EFF. Het rootcertificaatprogramma van Mozilla bepaalt welke tls-certificaten binnen Firefox worden vertrouwd.

Het bedrijf DarkMatter wil nu ook aan dit programma worden toegevoegd. "DarkMatter heeft een zakelijk belang in het omzeilen van encryptie en zou al het onderschepte https-verkeer kunnen ontsleutelen. Https moet je privécommunicatie tegen spionerende overheden beschermen, en als overheden willen spioneren, schakelen ze DarkMatter in om hun vuile werk te doen", aldus de EFF.

De organisatie waarschuwt dat als het bedrijf wordt toegevoegd, het tls-certificaten voor allerlei domeinen kan uitgeven die vervolgens voor man-in-the-middle-aanvallen zijn te gebruiken. DarkMatter werd onlangs genoemd in een bericht van persbureau Reuters over cybersurveillance in de Verenigde Arabische Emiraten. Eerder besteedde The Intercept al aandacht aan het bedrijf en de massasurveillance waar het zich mee zou bezighouden.

Een jaar geleden diende DarkMatter een verzoek in om aan het rootcertificaatprogramma van Mozilla te worden toegevoegd. Onlangs is ook de publieke discussie over het toevoegen van het bedrijf begonnen. De EFF stelt dat het proces om te worden toegevoegd vooral technisch en bureaucratisch is en DarkMatter hier waarschijnlijk aan zal voldoen. "Maar de standaarden houden geen rekening met de geschiedenis van een organisatie om encryptie te kraken of de belangenverstrengeling", zo waarschuwt de Amerikaanse burgerrechtenbeweging.

DarkMatter beschikt op dit moment al over een "intermediate" certificaat van een ander bedrijf genaamd QuoVadis, dat eigendom van DigiCert is. Met een intermediate certificaat kan DarkMatter voor willekeurige domeinen tls-certificaten uitgeven. Het toezicht vindt echter plaats door DigiCert, waardoor de schade beperkt blijft, aldus de EFF. Toch vraagt de organisatie aan Mozilla om het intermediate certificaat van DarkMatter in te trekken.

De EFF is verder bang dat als DarkMatter wordt toegevoegd, andere omstreden securitybedrijven zullen volgen. Op Mozillas security policy mailinglist ontkent DarkMatter de aantijgingen en stelt dat het zich alleen richt op defensieve cybersecurity, het beveiligen van communicatie en "digitale transformatie". Onlangs publiceerde Mozilla nog een blogposting waarin het stelt dat het rootcertificaatprogramma wordt beheerd op een manier die de waarden van de browserontwikkelaar weerspiegelt.

Update

De website Ghacks heeft een artikel gepubliceerd waarin wordt uitgelegd hoe de intermediate certificaten van DarkMatter uit Firefox zijn te verwijderen.

Reacties (19)
25-02-2019, 10:11 door Anoniem

De organisatie waarschuwt dat als het bedrijf wordt toegevoegd, het tls-certificaten voor allerlei domeinen kan uitgeven

Ja, wanneer gaan ze DAT nou eens een keer fixen???
25-02-2019, 10:29 door Anoniem
Het zal wel meevallen want https://www.security.nl/posting/590591/Firefox+blokkeert+nu+alle+Symantec-certificaten.
Zodra DarkMatter certificaten gaat uitgeven voor gmail of outlook, is het snel afgelopen met ze.
25-02-2019, 11:08 door Briolet
De website Ghacks heeft een artikel gepubliceerd waarin wordt uitgelegd hoe de intermediate certificaten van DarkMatter uit Firefox zijn te verwijderen

Nee, daar wordt uitgelegd hoe je Root certificaten verwijderd. ! Intermediates kun je niet verwijderen, want die staan er niet in. Je kunt wel een intermediate blokkeren door hem er zelf in te zetten en dan als 'niet vertrouwd' te markeren.
25-02-2019, 11:34 door Bitwiper - Bijgewerkt: 25-02-2019, 11:35
Door Briolet:Je kunt wel een intermediate blokkeren door hem er zelf in te zetten en dan als 'niet vertrouwd' te markeren.
Maar bij elk websitebezoek kunnen ze een nieuw intermediate certificaat hebben gemaakt en dat meesturen. Blokkeren van intermediate certificaten is dus niet waterdicht.

Belangrijker: QuoVadis is een leverancier van Nederlandse PKI-overheid certificaten (bijvoorbeeld te vinden op https://www.rijksoverheid.nl/). Het heeft dus mogelijk flinke consequenties als gebruikers QuoVadis rootcertificaten gaan blokkeren.

Last but not least: is QuoVadis nog betrouwbaar genoeg voor PKI overheid certs nu zij -naar verluidt- shady CSP's in het midden-oosten faciliteert met MitM certificaten (en je maar moet hopen dat die shady CSP's geen onrechtmatige PKI-overheid certs gaan uitgeven)?
25-02-2019, 11:54 door Anoniem
Opmerkelijk dat Siemens onder Quevadis staat.
I.c.m. mass-surveillance maakten zij -samen met Nokia- de Chinese Firewall, en Cuba gebruikt hetzelfde pakket maar dan strenger geconfiged.
Dus ik vermoed zomaar rook en dus vuur.
25-02-2019, 12:20 door Anoniem
Als je alle QuoVadis-certificaten het vertrouwen intrekt (c.q. verwijderen kunt) voor Firefox, geldt dat natuurlijk alleen voor de genoemde browser.

Bij MacOS kun je beter via de Sleutelhanger alle vertrouwen in de QuoVadis-certificaten intrekken die in de lijst staan.
Hierdoor wordt een waarschuwing afgegeven op alle geinstalleerde browsers die je op het systeem hebt. Je kunt dus standaard geen verbinding meer maken met servers waar dit certificaat wordt gebruikt.
25-02-2019, 12:40 door Anoniem
Ik stem voor toelating van Honest Achmed.

(Zie https://bugzilla.mozilla.org/show_bug.cgi?id=647959.)
25-02-2019, 14:13 door Anoniem
Ja want we mogen natuurlijk niet aan het monopolie van de amerikanen rommelen.
25-02-2019, 15:20 door Anoniem
Ja, wanneer gaan ze DAT nou eens een keer fixen???

Ehm waarvoor is root certificaat bedoeld ? Certificate authorities moeten betrouwbaar zijn. Dat ze certificaten voor domeinen kunnen uitgeven is logisch. Dat is hun taak.
25-02-2019, 15:23 door Anoniem
Gisteren nog tevergeefs uren geprobeerd de certs database van Firefox te bewerken met certutil op Linux, maar werkt door het veranderde stapelmodel niet meer.
Het is toch veel beter het vertrouwen (trust) te beperken ipv CA’s helemaal te verwijderen?
Anders ben je naar de eerstvolgende update, alle veranderingen weer kwijt.

Windows gebruikers moeten met in artikel omschreven handelswijze rekening houden met de security.enterprise_roots.enabled pref.

En hoe zit het eigenlijk met CA staat der Nederlanden in Thunderbird, sinds de bevoegdheid om te mogen hacken van kracht is?

/lightwgt/
25-02-2019, 15:49 door Anoniem
Tja, zoals zo vaak hebben ze niet nagedacht over de spelregels en gingen ze er vanuit dat 'iedereen' lief zou spelen.
Nu komt er dus een aanvraag van een 'shady' toko en nu weten ze niet meer hoe ze er mee om moeten gaan.. en uitrekken gaat niet lang meer kunnen.
25-02-2019, 20:24 door Anoniem
Door Anoniem:
Ja, wanneer gaan ze DAT nou eens een keer fixen???

Ehm waarvoor is root certificaat bedoeld ? Certificate authorities moeten betrouwbaar zijn. Dat ze certificaten voor domeinen kunnen uitgeven is logisch. Dat is hun taak.

Ik vind het niet logisch dat iedere certificaat autoriteit certificaten kan uiteven voor ieder willekeurig domein.
Daar zouden allerlei restricties op moeten zitten, zowel op de autoriteit als op de domeinen.
(en dan bedoel ik restricties die ook echt werken in browsers als Firefox, geen researchprojecten)

Maar nee, zelfs een root certificaat (revocation) list is er al niet eens, daarvoor moeten ze een nieuwe versie van
de browser uitbrengen. Klinkt allemaal niet erg hufterproof.
26-02-2019, 08:06 door Anoniem
Door Anoniem: Opmerkelijk dat Siemens onder Quevadis staat.
Quevadis bestaat niet. Wel QuoVadis.
26-02-2019, 10:16 door Anoniem
Door Anoniem:Ik vind het niet logisch dat iedere certificaat autoriteit certificaten kan uiteven voor ieder willekeurig domein.
Daar zouden allerlei restricties op moeten zitten, zowel op de autoriteit als op de domeinen.
(en dan bedoel ik restricties die ook echt werken in browsers als Firefox, geen researchprojecten)

CAA records.
Maar net als met alle nieuwe records duurt het heel lang voor het gemeengoed is geworden.
Of het moet een keer goed fout gaan. Dan gaan partijen sneller over tot implementatie.

Peter
26-02-2019, 10:27 door Tha Cleaner
Door Bitwiper:Belangrijker: QuoVadis is een leverancier van Nederlandse PKI-overheid certificaten (bijvoorbeeld te vinden op https://www.rijksoverheid.nl/). Het heeft dus mogelijk flinke consequenties als gebruikers QuoVadis rootcertificaten gaan blokkeren.
Nee hoor. Het root certificaat van PKI overheid is gewoon een overheids certificaat, daarna is er nog een Intermediate certificaat chain van de overheid, en daarna komt het QuoVadis overheid certificaat. QuoVadis heeft dus geen root certificaat, maar een Intermediate Certificaat. Deze kan natuurlijk misbruikt worden en deze zou je dus kunnen verwijderen of blockeren, wat mogelijk gevolgen heeft voor het browsen van het Internet.
Wil je het dus goed doen, moet je de CA van de overheid verwijderen, maar dan verwijder je ook de overige leveranciers van de overheid zoals KPN.

Last but not least: is QuoVadis nog betrouwbaar genoeg voor PKI overheid certs nu zij -naar verluidt- shady CSP's in het midden-oosten faciliteert met MitM certificaten (en je maar moet hopen dat die shady CSP's geen onrechtmatige PKI-overheid certs gaan uitgeven)?
Waarom niet? Er zit gewoon een audit proces achter voor de PKI overheid...
26-02-2019, 10:50 door Anoniem
Door Anoniem:
Door Anoniem:Ik vind het niet logisch dat iedere certificaat autoriteit certificaten kan uiteven voor ieder willekeurig domein.
Daar zouden allerlei restricties op moeten zitten, zowel op de autoriteit als op de domeinen.
(en dan bedoel ik restricties die ook echt werken in browsers als Firefox, geen researchprojecten)

CAA records.
Maar net als met alle nieuwe records duurt het heel lang voor het gemeengoed is geworden.

Firefox support dat helemaal niet! Dus laat staan dat je het aspect "wanneer zijn die records er" hoeft te overwegen.
Laten ze DAAR dan eens aan gaan werken...
27-02-2019, 12:43 door Bitwiper
Door Tha Cleaner:
Door Bitwiper:Belangrijker: QuoVadis is een leverancier van Nederlandse PKI-overheid certificaten (bijvoorbeeld te vinden op https://www.rijksoverheid.nl/). Het heeft dus mogelijk flinke consequenties als gebruikers QuoVadis rootcertificaten gaan blokkeren.
Nee hoor. Het root certificaat van PKI overheid is gewoon een overheids certificaat, daarna is er nog een Intermediate certificaat chain van de overheid, en daarna komt het QuoVadis overheid certificaat. QuoVadis heeft dus geen root certificaat, maar een Intermediate Certificaat. Deze kan natuurlijk misbruikt worden en deze zou je dus kunnen verwijderen of blockeren, wat mogelijk gevolgen heeft voor het browsen van het Internet.
Wil je het dus goed doen, moet je de CA van de overheid verwijderen, maar dan verwijder je ook de overige leveranciers van de overheid zoals KPN.

Last but not least: is QuoVadis nog betrouwbaar genoeg voor PKI overheid certs nu zij -naar verluidt- shady CSP's in het midden-oosten faciliteert met MitM certificaten (en je maar moet hopen dat die shady CSP's geen onrechtmatige PKI-overheid certs gaan uitgeven)?
Waarom niet? Er zit gewoon een audit proces achter voor de PKI overheid...
Zie mijn reactie in https://www.security.nl/posting/599244/ProtonMail%3A+verwijder+QuoVadis-certificaten+niet+uit+browser#posting599405.
28-02-2019, 23:04 door Anoniem
Dit soort ontwikkelingen laat het belang zien van aanvullende beveiliging zoals met name Certificate Transparancy
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.