ProtonMail: verwijder QuoVadis-certificaten niet uit browser
Aanbieder van versleutelde e-mail ProtonMail waarschuwt internetgebruikers om certificaten van certificaatautoriteit QuoVadis niet uit hun browser te verwijderen, aangezien dit voor problemen zorgt bij het bezoeken van tal van websites. QuoVadis kwam in het nieuws naar aanleiding van een verzoek van het omstreden securitybedrijf DarkMatter aan Mozilla. DarkMatter wil als rootcertificaatautoriteit aan Firefox worden toegevoegd.
Browsers en besturingssystemen vertrouwen tls-certificaten, die websites voor een versleutelde verbinding gebruiken, alleen als ze het rootcertificaat vertrouwen waaronder het tls-certificaat is uitgegeven. De Amerikaanse burgerrechtenbeweging EFF is bang dat als het rootcertificaat van DarkMatter in Firefox wordt opgenomen, het bedrijf dit kan gebruiken voor het uitgeven van tls-certificaten voor allerlei websites. Deze certificaten worden door browsers vertrouwd en zouden het bedrijf man-in-the-middle-aanvallen laten uitvoeren, waarbij het mogelijk is om versleuteld verkeer te onderscheppen en ontsleutelen.
DarkMatter beschikt op dit moment al over een "intermediate" certificaat van een ander bedrijf genaamd QuoVadis, dat eigendom van DigiCert is. Met een intermediate certificaat kan DarkMatter voor willekeurige domeinen tls-certificaten uitgeven. Het toezicht vindt echter plaats door DigiCert, waardoor de schade beperkt blijft, aldus de EFF. Toch heeft de burgerrechtenbeweging aan Mozilla gevraagd om het intermediate certificaat van DarkMatter in te trekken.
Naar aanleiding van de berichtgeving riepen sommige mensen op om de certificaten van QuoVadis uit de browser te verwijderen. Volgens ProtonMail is deze overhaaste actie ongerechtvaardigd en zorgt het ervoor dat allerlei websites niet meer zullen werken, waaronder ProtonMail en ProtonVPN. "Alleen omdat QuoVadis een certificaat voor DarkMatter heeft uitgegeven wil nog niet zeggen dat er een probleem is met de andere certificaten die eerder door QuoVadis zijn uitgegeven", aldus ProtonMail.
De e-mailprovider benadrukt dat het zich niet kan vinden in de activiteiten van DarkMatter en dat QuoVadis het certificaat van het securitybedrijf moet intrekken. Toch heeft dit geen gevolgen voor de andere uitgegeven certificaten van QuoVadis. "Het feit dat DarkMatter een certificaat van QuoVadis heeft gekregen wil niet zeggen dat het certificaatautoriteitsysteem is gecompromitteerd", besluit ProtonMail. De e-mailprovider stelt dat het DigiCert gaat vragen om het certificaat van DarkMatter in te trekken en dat de beslissing hierover een rol zal spelen bij de beslissing om met DigiCert in de toekomst te blijven samenwerken.
Feiten zijn darkmatter is foute club, quovadis support foute club, quovadis wordt foute club.
Nu gaan ze nog een stap verder van intermediate (fout) naar root (evil).
Fout + evil =
En ik wil ze niet terug hebben.
Dat klinkt als certificaatautoriteit van de Nederlandse overheid???
En ik wil ze niet terug hebben.
En ik wil ze niet terug hebben.
Tja, dan heb je een probleem als je bij de http://rijksoverheid.nl wilt zijn. Die gebruiken het "QuoVadis Root CA 2" certificaat als hun root. Dat is dezelfde die ProtonMail gebruikt.
Niet te verwarren met http://overheid.nl want daar staat een root van "Staat der Nederlanden Root CA - G3".
Als je dat certificaat verwijderd kun je dus wel bij de lokale overheids sites of belasting sites, maar niet meer bij de landelijke site waar toeslagen info etc te vinden is.
Niet te verwarren met http://overheid.nl want daar staat een root van "Staat der Nederlanden Root CA - G3".
Zijn jullie echt zo gek?
Dus als je één rotte appel aantreft ga je nooit meer naar die groenteman?
Zielepoten.
Niet mijn fout. Ik heb er geen protocol bij vermeld. Dat doet de software van deze site. Ik heb het echter niet gecorrigeerd omdat beide sites zelf een redirect doen en je toch vastloopt als je het via http probeert.
Zie het meer als je vriendin die maar 20 keer vreemd is gegaan en nu je pincode en je autosleutels hebt.
Blokkeer je dan je pinpas of moet ik pas klagen als al mijn geld weg is?
Zie het meer als je vriendin die maar 20 keer vreemd is gegaan en nu je pincode en je autosleutels hebt.
Blokkeer je dan je pinpas of moet ik pas klagen als al mijn geld weg is?
Protonmail heeft een propriëtaire smtp bridge.
Protonmail vereist gebruik van propriëtaire javascript.
Protonmail vereist vereist bij registratie verificatie via google's captcha. Dit faalt wanneer je probeert te registreren via een VPN or TOR. Dit maakt het identificeren van de gebruiker veel eenvoudiger.
En nu willen ze ook nog dat je onveilige certificaten vertrouwd? Deze service begint steeds meer op een honingpot te lijken.
Niet te verwarren met overheid.nl want daar staat een root van "Staat der Nederlanden Root CA - G3".
Niet te verwarren met overheid.nl want daar staat een root van "Staat der Nederlanden Root CA - G3".
Dat is een intermediate. Het werkelijke root certificaat is van "Staat der Nederlanden Root CA G3" Of eventueel een G2. Je moet wel de complete CA chain goed bekijken.
Niet te verwarren met overheid.nl want daar staat een root van "Staat der Nederlanden Root CA - G3".
Dat is een intermediate. Het werkelijke root certificaat is van "Staat der Nederlanden Root CA G3" Of eventueel een G2. Je moet wel de complete CA chain goed bekijken.
Het is kennelijk geen PKI overheid certificaat, want de root is wel degelijk:
Fingerprint SHA256: 85a0dd7dd720adb7ff05f83d542b209dc7ff4528f7d677b18389fea5e5c49e86
Zie ook een van de subpagina's onder https://www.ssllabs.com/ssltest/analyze.html?d=www.rijksoverheid.nl&latest.
Aanvulling: QuoVadis geeft ook PKI-overheid certs uit (met als root wel een "Staat der Nederlanden"), bijvoorbeeld te zien in https://www.amersfoort.nl/.
Als je de QuoVadis root blokkeert in je browser, kun je https://www.amersfoort.nl/ nog wel openen zonder certificaatfoutmelding, maar https://www.rijksoverheid.nl/ niet (en die certificaatfoutmelding kun je niet wegklikken als gevolg van HSTS op die site - met de regel actief in jouw browser als je die site in de afgelopen 366 dagen bezocht hebt).
Fingerprint SHA256: 85a0dd7dd720adb7ff05f83d542b209dc7ff4528f7d677b18389fea5e5c49e86
Volgens mij worden die twee nog steeds door elkaar gehaald. Bij overheid.nl is er geen QuoVadis root. Wel bij rijksoverheid. Ik laat de chain opvragen door de browser. (Eigenlijk door het sleutelhanger programma op de mac)
Als ik het opvraag via een openssl commando, zie ik iets geks:
en
openssl s_client -connect www.rijksoverheid.nl:443
De eerste geeft netjes het certificaat en de chain weer. De tweede blokkeert de weergave van het certificaat. (En dus de chain). Maar het ging om de eerste en daar staat echt geen QuoVadis bij.
Dit krijg ik te zien (de 3e is de root van overheid.nl):
Certificate chain
0 s:/C=NL/ST=Zuid-Holland/L=Den Haag/O=Uitvoeringsorganisatie Bedrijfsvoering Rijk UBR/OU=Kennis- en Exploitatiecentrum Officiele Overheidspublicaties/serialNumber=00000004000000059000/CN=overheid.nl
i:/C=NL/O=KPN B.V./2.5.4.97=NTRNL-27124701/CN=KPN BV PKIoverheid Organisatie Server CA - G3
1 s:/C=NL/O=KPN B.V./2.5.4.97=NTRNL-27124701/CN=KPN BV PKIoverheid Organisatie Server CA - G3
i:/C=NL/O=Staat der Nederlanden/CN=Staat der Nederlanden Organisatie Services CA - G3
2 s:/C=NL/O=Staat der Nederlanden/CN=Staat der Nederlanden Organisatie Services CA - G3
i:/C=NL/O=Staat der Nederlanden/CN=Staat der Nederlanden Root CA - G3
3 s:/C=NL/O=Staat der Nederlanden/CN=Staat der Nederlanden Root CA - G3
i:/C=NL/O=Staat der Nederlanden/CN=Staat der Nederlanden Root CA - G3
---
Jij hebt er mee te maken omdat jij beweert dat overheid.nl een QuoVadis certificaat gebruikt.
Jij hebt er mee te maken omdat jij beweert dat overheid.nl een QuoVadis certificaat gebruikt.
En ik wil ze niet terug hebben.
Het is juist goed dat zo'n foute club dit wil hebben. Nu krijgt dit mankement weer eens aandacht. De Amerikanen misbruiken dit al veel langer, hoe denk je anders dat ze aan al die data komen? Waarom denk je dat letsencrypt in de amazon cloud zit, totaal niet te controleren wat daar gebeurd. Top weer een dienst erbij die gebruikt kan worden door de Amerikaanse overheid.
En zoals gewoonlijk, willen de amerikanen hun monopolie positie niet delen met anderen.
Niet te verwarren met overheid.nl want daar staat een root van "Staat der Nederlanden Root CA - G3".
Om jouw verkeer af te luisteren, heb je ook nog de private key nodig van het certificaat en die heeft de signer niet (maar wel de website eigenaar). Als die nu beide dezelfde zijn. Maar dat staat los van wie nu de cert-root heeft.
Wel zouden ze een fake cert kunnen maken en ondertekenen om de website te spoofen of the mitm doen waar je dan geen waarschuwing van krijgt (mits etc, etc). Maar als de overheid toch al eigenaar van de website is, waar gaat het dan over.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
