Omstreden securitybedrijf wil eigen rootcertificaat in Firefox
Een omstreden securitybedrijf uit de Verenigde Arabische Emiraten wil een eigen rootcertificaat in Firefox, tot grote zorgen van de Amerikaanse burgerrechtenbeweging EFF. Het rootcertificaatprogramma van Mozilla bepaalt welke tls-certificaten binnen Firefox worden vertrouwd.
Het bedrijf DarkMatter wil nu ook aan dit programma worden toegevoegd. "DarkMatter heeft een zakelijk belang in het omzeilen van encryptie en zou al het onderschepte https-verkeer kunnen ontsleutelen. Https moet je privécommunicatie tegen spionerende overheden beschermen, en als overheden willen spioneren, schakelen ze DarkMatter in om hun vuile werk te doen", aldus de EFF.
De organisatie waarschuwt dat als het bedrijf wordt toegevoegd, het tls-certificaten voor allerlei domeinen kan uitgeven die vervolgens voor man-in-the-middle-aanvallen zijn te gebruiken. DarkMatter werd onlangs genoemd in een bericht van persbureau Reuters over cybersurveillance in de Verenigde Arabische Emiraten. Eerder besteedde The Intercept al aandacht aan het bedrijf en de massasurveillance waar het zich mee zou bezighouden.
Een jaar geleden diende DarkMatter een verzoek in om aan het rootcertificaatprogramma van Mozilla te worden toegevoegd. Onlangs is ook de publieke discussie over het toevoegen van het bedrijf begonnen. De EFF stelt dat het proces om te worden toegevoegd vooral technisch en bureaucratisch is en DarkMatter hier waarschijnlijk aan zal voldoen. "Maar de standaarden houden geen rekening met de geschiedenis van een organisatie om encryptie te kraken of de belangenverstrengeling", zo waarschuwt de Amerikaanse burgerrechtenbeweging.
DarkMatter beschikt op dit moment al over een "intermediate" certificaat van een ander bedrijf genaamd QuoVadis, dat eigendom van DigiCert is. Met een intermediate certificaat kan DarkMatter voor willekeurige domeinen tls-certificaten uitgeven. Het toezicht vindt echter plaats door DigiCert, waardoor de schade beperkt blijft, aldus de EFF. Toch vraagt de organisatie aan Mozilla om het intermediate certificaat van DarkMatter in te trekken.
De EFF is verder bang dat als DarkMatter wordt toegevoegd, andere omstreden securitybedrijven zullen volgen. Op Mozillas security policy mailinglist ontkent DarkMatter de aantijgingen en stelt dat het zich alleen richt op defensieve cybersecurity, het beveiligen van communicatie en "digitale transformatie". Onlangs publiceerde Mozilla nog een blogposting waarin het stelt dat het rootcertificaatprogramma wordt beheerd op een manier die de waarden van de browserontwikkelaar weerspiegelt.
Update
De website Ghacks heeft een artikel gepubliceerd waarin wordt uitgelegd hoe de intermediate certificaten van DarkMatter uit Firefox zijn te verwijderen.
De organisatie waarschuwt dat als het bedrijf wordt toegevoegd, het tls-certificaten voor allerlei domeinen kan uitgeven
Ja, wanneer gaan ze DAT nou eens een keer fixen???
Zodra DarkMatter certificaten gaat uitgeven voor gmail of outlook, is het snel afgelopen met ze.
Nee, daar wordt uitgelegd hoe je Root certificaten verwijderd. ! Intermediates kun je niet verwijderen, want die staan er niet in. Je kunt wel een intermediate blokkeren door hem er zelf in te zetten en dan als 'niet vertrouwd' te markeren.
Belangrijker: QuoVadis is een leverancier van Nederlandse PKI-overheid certificaten (bijvoorbeeld te vinden op https://www.rijksoverheid.nl/). Het heeft dus mogelijk flinke consequenties als gebruikers QuoVadis rootcertificaten gaan blokkeren.
Last but not least: is QuoVadis nog betrouwbaar genoeg voor PKI overheid certs nu zij -naar verluidt- shady CSP's in het midden-oosten faciliteert met MitM certificaten (en je maar moet hopen dat die shady CSP's geen onrechtmatige PKI-overheid certs gaan uitgeven)?
I.c.m. mass-surveillance maakten zij -samen met Nokia- de Chinese Firewall, en Cuba gebruikt hetzelfde pakket maar dan strenger geconfiged.
Dus ik vermoed zomaar rook en dus vuur.
Bij MacOS kun je beter via de Sleutelhanger alle vertrouwen in de QuoVadis-certificaten intrekken die in de lijst staan.
Hierdoor wordt een waarschuwing afgegeven op alle geinstalleerde browsers die je op het systeem hebt. Je kunt dus standaard geen verbinding meer maken met servers waar dit certificaat wordt gebruikt.
Ehm waarvoor is root certificaat bedoeld ? Certificate authorities moeten betrouwbaar zijn. Dat ze certificaten voor domeinen kunnen uitgeven is logisch. Dat is hun taak.
Het is toch veel beter het vertrouwen (trust) te beperken ipv CA’s helemaal te verwijderen?
Anders ben je naar de eerstvolgende update, alle veranderingen weer kwijt.
Windows gebruikers moeten met in artikel omschreven handelswijze rekening houden met de security.enterprise_roots.enabled pref.
En hoe zit het eigenlijk met CA staat der Nederlanden in Thunderbird, sinds de bevoegdheid om te mogen hacken van kracht is?
/lightwgt/
Nu komt er dus een aanvraag van een 'shady' toko en nu weten ze niet meer hoe ze er mee om moeten gaan.. en uitrekken gaat niet lang meer kunnen.
Ehm waarvoor is root certificaat bedoeld ? Certificate authorities moeten betrouwbaar zijn. Dat ze certificaten voor domeinen kunnen uitgeven is logisch. Dat is hun taak.
Ik vind het niet logisch dat iedere certificaat autoriteit certificaten kan uiteven voor ieder willekeurig domein.
Daar zouden allerlei restricties op moeten zitten, zowel op de autoriteit als op de domeinen.
(en dan bedoel ik restricties die ook echt werken in browsers als Firefox, geen researchprojecten)
Maar nee, zelfs een root certificaat (revocation) list is er al niet eens, daarvoor moeten ze een nieuwe versie van
de browser uitbrengen. Klinkt allemaal niet erg hufterproof.
Daar zouden allerlei restricties op moeten zitten, zowel op de autoriteit als op de domeinen.
(en dan bedoel ik restricties die ook echt werken in browsers als Firefox, geen researchprojecten)
CAA records.
Maar net als met alle nieuwe records duurt het heel lang voor het gemeengoed is geworden.
Of het moet een keer goed fout gaan. Dan gaan partijen sneller over tot implementatie.
Peter
Wil je het dus goed doen, moet je de CA van de overheid verwijderen, maar dan verwijder je ook de overige leveranciers van de overheid zoals KPN.
Daar zouden allerlei restricties op moeten zitten, zowel op de autoriteit als op de domeinen.
(en dan bedoel ik restricties die ook echt werken in browsers als Firefox, geen researchprojecten)
CAA records.
Maar net als met alle nieuwe records duurt het heel lang voor het gemeengoed is geworden.
Firefox support dat helemaal niet! Dus laat staan dat je het aspect "wanneer zijn die records er" hoeft te overwegen.
Laten ze DAAR dan eens aan gaan werken...
Wil je het dus goed doen, moet je de CA van de overheid verwijderen, maar dan verwijder je ook de overige leveranciers van de overheid zoals KPN.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
