image

ProtonMail: verwijder QuoVadis-certificaten niet uit browser

dinsdag 26 februari 2019, 10:28 door Redactie, 27 reacties

Aanbieder van versleutelde e-mail ProtonMail waarschuwt internetgebruikers om certificaten van certificaatautoriteit QuoVadis niet uit hun browser te verwijderen, aangezien dit voor problemen zorgt bij het bezoeken van tal van websites. QuoVadis kwam in het nieuws naar aanleiding van een verzoek van het omstreden securitybedrijf DarkMatter aan Mozilla. DarkMatter wil als rootcertificaatautoriteit aan Firefox worden toegevoegd.

Browsers en besturingssystemen vertrouwen tls-certificaten, die websites voor een versleutelde verbinding gebruiken, alleen als ze het rootcertificaat vertrouwen waaronder het tls-certificaat is uitgegeven. De Amerikaanse burgerrechtenbeweging EFF is bang dat als het rootcertificaat van DarkMatter in Firefox wordt opgenomen, het bedrijf dit kan gebruiken voor het uitgeven van tls-certificaten voor allerlei websites. Deze certificaten worden door browsers vertrouwd en zouden het bedrijf man-in-the-middle-aanvallen laten uitvoeren, waarbij het mogelijk is om versleuteld verkeer te onderscheppen en ontsleutelen.

DarkMatter beschikt op dit moment al over een "intermediate" certificaat van een ander bedrijf genaamd QuoVadis, dat eigendom van DigiCert is. Met een intermediate certificaat kan DarkMatter voor willekeurige domeinen tls-certificaten uitgeven. Het toezicht vindt echter plaats door DigiCert, waardoor de schade beperkt blijft, aldus de EFF. Toch heeft de burgerrechtenbeweging aan Mozilla gevraagd om het intermediate certificaat van DarkMatter in te trekken.

Naar aanleiding van de berichtgeving riepen sommige mensen op om de certificaten van QuoVadis uit de browser te verwijderen. Volgens ProtonMail is deze overhaaste actie ongerechtvaardigd en zorgt het ervoor dat allerlei websites niet meer zullen werken, waaronder ProtonMail en ProtonVPN. "Alleen omdat QuoVadis een certificaat voor DarkMatter heeft uitgegeven wil nog niet zeggen dat er een probleem is met de andere certificaten die eerder door QuoVadis zijn uitgegeven", aldus ProtonMail.

De e-mailprovider benadrukt dat het zich niet kan vinden in de activiteiten van DarkMatter en dat QuoVadis het certificaat van het securitybedrijf moet intrekken. Toch heeft dit geen gevolgen voor de andere uitgegeven certificaten van QuoVadis. "Het feit dat DarkMatter een certificaat van QuoVadis heeft gekregen wil niet zeggen dat het certificaatautoriteitsysteem is gecompromitteerd", besluit ProtonMail. De e-mailprovider stelt dat het DigiCert gaat vragen om het certificaat van DarkMatter in te trekken en dat de beslissing hierover een rol zal spelen bij de beslissing om met DigiCert in de toekomst te blijven samenwerken.

Reacties (27)
26-02-2019, 10:47 door Anoniem
En ProtonMail, vind je het nou nog gek dat niemand het meer snapt?
26-02-2019, 10:57 door Anoniem
Verwijder het cert WEL, en klaag maar bij "tal van websites" dat ze maar een betrouwbaarder cerificaat moeten aanschaffen als ze advertentiegelden aan jouw bezoek wensen te verdienen.
26-02-2019, 11:11 door Anoniem
Een hoop bangmakerij van protonmail.
Feiten zijn darkmatter is foute club, quovadis support foute club, quovadis wordt foute club.
Nu gaan ze nog een stap verder van intermediate (fout) naar root (evil).
Fout + evil =
26-02-2019, 11:44 door Anoniem
Ja, jammer dan Protonmail. Maar QuoVadis certificaten zijn al verwijderd bij mij.
En ik wil ze niet terug hebben.
26-02-2019, 11:57 door Anoniem
Quovadis?
Dat klinkt als certificaatautoriteit van de Nederlandse overheid???
26-02-2019, 13:20 door Anoniem
Door Anoniem: Verwijder het cert WEL, en klaag maar bij "tal van websites" dat ze maar een betrouwbaarder cerificaat moeten aanschaffen als ze advertentiegelden aan jouw bezoek wensen te verdienen.
Duidelijk snap je niet hoe certificaten werken..... Gebruikers kunnen beter niet naar soort advies luisteren, aangezien ze kan geen idee hebben wat ze eigenlijk doen.

Door Anoniem: Ja, jammer dan Protonmail. Maar QuoVadis certificaten zijn al verwijderd bij mij.
En ik wil ze niet terug hebben.
Alleen zo jammer dat dit weinig effect heeft, als je niet weet wat je doet.
26-02-2019, 13:29 door Anoniem
Waar gaan we toch naartoe ...?
26-02-2019, 13:31 door Briolet - Bijgewerkt: 26-02-2019, 13:32
Door Anoniem: Ja, jammer dan Protonmail. Maar QuoVadis certificaten zijn al verwijderd bij mij.
En ik wil ze niet terug hebben.

Tja, dan heb je een probleem als je bij de http://rijksoverheid.nl wilt zijn. Die gebruiken het "QuoVadis Root CA 2" certificaat als hun root. Dat is dezelfde die ProtonMail gebruikt.

Niet te verwarren met http://overheid.nl want daar staat een root van "Staat der Nederlanden Root CA - G3".

Als je dat certificaat verwijderd kun je dus wel bij de lokale overheids sites of belasting sites, maar niet meer bij de landelijke site waar toeslagen info etc te vinden is.
26-02-2019, 13:51 door Anoniem
Door Briolet:
Tja, dan heb je een probleem als je bij de http://rijksoverheid.nl wilt zijn.
https, I presume? http zal geen certificaat, van wie dan ook, laten zien.

Niet te verwarren met http://overheid.nl want daar staat een root van "Staat der Nederlanden Root CA - G3".
En nog een keer...
26-02-2019, 14:05 door Anoniem
Alle certificaten van QuoVadis verwijderen?
Zijn jullie echt zo gek?
Dus als je één rotte appel aantreft ga je nooit meer naar die groenteman?
Zielepoten.
26-02-2019, 14:05 door Anoniem
Door Anoniem: Verwijder het cert WEL, en klaag maar bij "tal van websites" dat ze maar een betrouwbaarder cerificaat moeten aanschaffen als ze advertentiegelden aan jouw bezoek wensen te verdienen.
Ik denk dat de klachtenformulieren en de pagina's met andere contactinformatie op die websites wat problemen gaan geven als je eerst het certificaat verwijdert en dan pas gaat klagen.
26-02-2019, 14:36 door Briolet
Door Anoniem:
Door Briolet:
Tja, dan heb je een probleem als je bij de http://rijksoverheid.nl wilt zijn.
https, I presume? http zal geen certificaat, van wie dan ook, laten zien.

Niet mijn fout. Ik heb er geen protocol bij vermeld. Dat doet de software van deze site. Ik heb het echter niet gecorrigeerd omdat beide sites zelf een redirect doen en je toch vastloopt als je het via http probeert.
26-02-2019, 15:21 door Anoniem
Door Anoniem:
Door Anoniem: Verwijder het cert WEL, en klaag maar bij "tal van websites" dat ze maar een betrouwbaarder cerificaat moeten aanschaffen als ze advertentiegelden aan jouw bezoek wensen te verdienen.
Ik denk dat de klachtenformulieren en de pagina's met andere contactinformatie op die websites wat problemen gaan geven als je eerst het certificaat verwijdert en dan pas gaat klagen.

Zie het meer als je vriendin die maar 20 keer vreemd is gegaan en nu je pincode en je autosleutels hebt.
Blokkeer je dan je pinpas of moet ik pas klagen als al mijn geld weg is?
26-02-2019, 16:02 door Anoniem
Het amateuristisch gehalte is recht evenredig met de bijdragen die vooral een ander de les willen leren.
26-02-2019, 18:24 door Anoniem
Op advies in deze posts heb ik maar eventjes alle certificaten uit Firefox verwijderd maar nu werkt niks meer, wat nu?
26-02-2019, 21:47 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Verwijder het cert WEL, en klaag maar bij "tal van websites" dat ze maar een betrouwbaarder cerificaat moeten aanschaffen als ze advertentiegelden aan jouw bezoek wensen te verdienen.
Ik denk dat de klachtenformulieren en de pagina's met andere contactinformatie op die websites wat problemen gaan geven als je eerst het certificaat verwijdert en dan pas gaat klagen.

Zie het meer als je vriendin die maar 20 keer vreemd is gegaan en nu je pincode en je autosleutels hebt.
Blokkeer je dan je pinpas of moet ik pas klagen als al mijn geld weg is?
Ik zou je zelf ook meteen opsluiten en nooit meer achter de vrouwen aangaan. Dat is namelijk de enige oplossing hiervoor.
27-02-2019, 08:14 door Anoniem
Protonmail heeft een propriëtaire mobiele client.
Protonmail heeft een propriëtaire smtp bridge.
Protonmail vereist gebruik van propriëtaire javascript.
Protonmail vereist vereist bij registratie verificatie via google's captcha. Dit faalt wanneer je probeert te registreren via een VPN or TOR. Dit maakt het identificeren van de gebruiker veel eenvoudiger.

En nu willen ze ook nog dat je onveilige certificaten vertrouwd? Deze service begint steeds meer op een honingpot te lijken.
27-02-2019, 09:29 door Anoniem
Door Briolet:
Niet te verwarren met overheid.nl want daar staat een root van "Staat der Nederlanden Root CA - G3".
Waarschijnlijk word je afgeluisterd, want ik zie een "KPN BV PKIoverheid Organisatie Server CA - G3"
27-02-2019, 10:46 door Tha Cleaner
Door Anoniem:
Door Briolet:
Niet te verwarren met overheid.nl want daar staat een root van "Staat der Nederlanden Root CA - G3".
Waarschijnlijk word je afgeluisterd, want ik zie een "KPN BV PKIoverheid Organisatie Server CA - G3"

Dat is een intermediate. Het werkelijke root certificaat is van "Staat der Nederlanden Root CA G3" Of eventueel een G2. Je moet wel de complete CA chain goed bekijken.
27-02-2019, 12:32 door Bitwiper - Bijgewerkt: 27-02-2019, 12:41
Door Tha Cleaner:
Door Anoniem:
Door Briolet:
Niet te verwarren met overheid.nl want daar staat een root van "Staat der Nederlanden Root CA - G3".
Waarschijnlijk word je afgeluisterd, want ik zie een "KPN BV PKIoverheid Organisatie Server CA - G3"

Dat is een intermediate. Het werkelijke root certificaat is van "Staat der Nederlanden Root CA G3" Of eventueel een G2. Je moet wel de complete CA chain goed bekijken.
"Je moet wel de complete CA chain goed bekijken": heb jij dat zelf wel gedaan?

Het is kennelijk geen PKI overheid certificaat, want de root is wel degelijk:
QuoVadis Root CA 2 Self-signed
Fingerprint SHA256: 85a0dd7dd720adb7ff05f83d542b209dc7ff4528f7d677b18389fea5e5c49e86

Zie ook een van de subpagina's onder https://www.ssllabs.com/ssltest/analyze.html?d=www.rijksoverheid.nl&latest.

Aanvulling: QuoVadis geeft ook PKI-overheid certs uit (met als root wel een "Staat der Nederlanden"), bijvoorbeeld te zien in https://www.amersfoort.nl/.

Als je de QuoVadis root blokkeert in je browser, kun je https://www.amersfoort.nl/ nog wel openen zonder certificaatfoutmelding, maar https://www.rijksoverheid.nl/ niet (en die certificaatfoutmelding kun je niet wegklikken als gevolg van HSTS op die site - met de regel actief in jouw browser als je die site in de afgelopen 366 dagen bezocht hebt).
27-02-2019, 13:39 door Briolet - Bijgewerkt: 27-02-2019, 13:49
Door Bitwiper:Het is kennelijk geen PKI overheid certificaat, want de root is wel degelijk:
QuoVadis Root CA 2 Self-signed
Fingerprint SHA256: 85a0dd7dd720adb7ff05f83d542b209dc7ff4528f7d677b18389fea5e5c49e86

Volgens mij worden die twee nog steeds door elkaar gehaald. Bij overheid.nl is er geen QuoVadis root. Wel bij rijksoverheid. Ik laat de chain opvragen door de browser. (Eigenlijk door het sleutelhanger programma op de mac)

Als ik het opvraag via een openssl commando, zie ik iets geks:

openssl s_client -connect www.overheid.nl:443
en
openssl s_client -connect www.rijksoverheid.nl:443

De eerste geeft netjes het certificaat en de chain weer. De tweede blokkeert de weergave van het certificaat. (En dus de chain). Maar het ging om de eerste en daar staat echt geen QuoVadis bij.

Dit krijg ik te zien (de 3e is de root van overheid.nl):
---
Certificate chain
0 s:/C=NL/ST=Zuid-Holland/L=Den Haag/O=Uitvoeringsorganisatie Bedrijfsvoering Rijk UBR/OU=Kennis- en Exploitatiecentrum Officiele Overheidspublicaties/serialNumber=00000004000000059000/CN=overheid.nl
i:/C=NL/O=KPN B.V./2.5.4.97=NTRNL-27124701/CN=KPN BV PKIoverheid Organisatie Server CA - G3
1 s:/C=NL/O=KPN B.V./2.5.4.97=NTRNL-27124701/CN=KPN BV PKIoverheid Organisatie Server CA - G3
i:/C=NL/O=Staat der Nederlanden/CN=Staat der Nederlanden Organisatie Services CA - G3
2 s:/C=NL/O=Staat der Nederlanden/CN=Staat der Nederlanden Organisatie Services CA - G3
i:/C=NL/O=Staat der Nederlanden/CN=Staat der Nederlanden Root CA - G3
3 s:/C=NL/O=Staat der Nederlanden/CN=Staat der Nederlanden Root CA - G3
i:/C=NL/O=Staat der Nederlanden/CN=Staat der Nederlanden Root CA - G3
---
27-02-2019, 13:54 door Bitwiper
Door Briolet: Maar het ging om de eerste en daar staat echt geen QuoVadis bij.
Uhhh het kan aan mij liggen, maar deze draad gaat over QuoVadis certs, wat heb ik dan met overheid.nl (met KPN "PKI-overheid" cert) te maken?
27-02-2019, 16:17 door Briolet
Door Bitwiper:
Door Briolet: Maar het ging om de eerste en daar staat echt geen QuoVadis bij.
Uhhh het kan aan mij liggen, maar deze draad gaat over QuoVadis certs, wat heb ik dan met overheid.nl (met KPN "PKI-overheid" cert) te maken?

Jij hebt er mee te maken omdat jij beweert dat overheid.nl een QuoVadis certificaat gebruikt.
27-02-2019, 17:05 door Bitwiper
Door Briolet:
Door Bitwiper:
Door Briolet: Maar het ging om de eerste en daar staat echt geen QuoVadis bij.
Uhhh het kan aan mij liggen, maar deze draad gaat over QuoVadis certs, wat heb ik dan met overheid.nl (met KPN "PKI-overheid" cert) te maken?

Jij hebt er mee te maken omdat jij beweert dat overheid.nl een QuoVadis certificaat gebruikt.
En waar doe ik dat dan volgens jou?
27-02-2019, 21:24 door Anoniem
Door Anoniem: Ja, jammer dan Protonmail. Maar QuoVadis certificaten zijn al verwijderd bij mij.
En ik wil ze niet terug hebben.

Het is juist goed dat zo'n foute club dit wil hebben. Nu krijgt dit mankement weer eens aandacht. De Amerikanen misbruiken dit al veel langer, hoe denk je anders dat ze aan al die data komen? Waarom denk je dat letsencrypt in de amazon cloud zit, totaal niet te controleren wat daar gebeurd. Top weer een dienst erbij die gebruikt kan worden door de Amerikaanse overheid.

En zoals gewoonlijk, willen de amerikanen hun monopolie positie niet delen met anderen.
07-03-2019, 23:20 door Anoniem
Door Anoniem:
Door Briolet:
Niet te verwarren met overheid.nl want daar staat een root van "Staat der Nederlanden Root CA - G3".
Waarschijnlijk word je afgeluisterd, want ik zie een "KPN BV PKIoverheid Organisatie Server CA - G3"

Om jouw verkeer af te luisteren, heb je ook nog de private key nodig van het certificaat en die heeft de signer niet (maar wel de website eigenaar). Als die nu beide dezelfde zijn. Maar dat staat los van wie nu de cert-root heeft.

Wel zouden ze een fake cert kunnen maken en ondertekenen om de website te spoofen of the mitm doen waar je dan geen waarschuwing van krijgt (mits etc, etc). Maar als de overheid toch al eigenaar van de website is, waar gaat het dan over.
16-07-2019, 20:51 door FSF-Moses - Bijgewerkt: 16-07-2019, 20:56
Wanneer je de certificaten van Quo Vadis allemaal uitschakelt, is de site van postnl.nl ook niet meer bereikaar... Uitschakelen van deze certificaten geeft meer problemen op dan deze aan te laten staan. Er zijn vast meer sites die gebruiken maken van deze certificaten dan je denkt...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.