Mozilla overweegt om certificaten DarkMatter uit Firefox te verwijderen
Mozilla overweegt om certificaten van het omstreden securitybedrijf DarkMatter uit Firefox te verwijderen, zo heeft de browserontwikkelaar tegenover persbureau Reuters laten weten. DarkMatter wil als rootcertificaatautoriteit aan Firefox worden toegevoegd.
Browsers en besturingssystemen vertrouwen tls-certificaten, die websites voor een versleutelde verbinding gebruiken, alleen als ze het rootcertificaat vertrouwen waaronder het tls-certificaat is uitgegeven. De Amerikaanse burgerrechtenbeweging EFF is bang dat als DarkMatter wordt toegevoegd, het tls-certificaten voor allerlei domeinen kan uitgeven die vervolgens voor man-in-the-middle-aanvallen zijn te gebruiken.
DarkMatter kwam onlangs in het nieuws over cybersurveillance in de Verenigde Arabische Emiraten. Het securitybedrijf beschikt daarnaast al over een "intermediate" certificaat van een ander bedrijf genaamd QuoVadis, dat eigendom van DigiCert is. Met een intermediate certificaat kan DarkMatter voor willekeurige domeinen tls-certificaten uitgeven. Het toezicht vindt echter plaats door DigiCert, waardoor de schade beperkt blijft, aldus de EFF.
Naar aanleiding van het verzoek van DarkMatter om als rootcertificaatautoriteit te worden toegevoegd vroegen verschillende bedrijven en organisaties aan Mozilla om de certificaten van het securitybedrijf in te trekken. Iets dat de browserontwikkelaar overweegt. "We hebben op dit moment geen technisch bewijs van misbruik door DarkMatter, maar de berichtgeving is sterk bewijs dat misbruik zich waarschijnlijk zal voordoen als dat nog niet het geval is", aldus Selena Deckelmann van Mozilla. Ze stelt dat Mozilla overweegt om mogelijk de meer dan 400 certificaten van DarkMatter, of een deel daarvan, uit Firefox te verwijderen.
Leverde mij geen enkel probleem op;
heb dagenlang niks aan SSL errors gezien.
Totdat ik https://www.rijksoverheid.nl/ wilde bezoeken.
Heel typisch dat zij blijkbaar hun certificaten halen bij een bedrijf uit Qatar (QuoVadis, een dochter van DarkMatter) die aan mass-surveilance doet.
En Erdogan is er duidelijk ook klant.
Dan begin je ook wel te snappen waarom er 2 (of 1?) Israelische CA zijn (of is), die de certificaten super-goedkoop aanbiedt.
Te groot om zomaar te laten vallen, zoals bij diginotar zomaar kon.
Maar bij de Franse overheid (fake gmail.com certificaten) al lastiger werd.
Hij's fijn ;)
In die richting dacht ik nou ook, maar jij weet het te benoemen.
Welke overheid? De overheid van welk land? Ik weet zeker dat er een heel stel overheden zijn die het heel erg fijn zouden vinden als ze hun eigen rootcertificaten toe zouden kunnen laten voegen aan browsers.
Welke overheid? De overheid van welk land? Ik weet zeker dat er een heel stel overheden zijn die het heel erg fijn zouden vinden als ze hun eigen rootcertificaten toe zouden kunnen laten voegen aan browsers.
Ja, echt top hoor, goed nagedacht, echt een aanwinst voor security ben jij.... De Overheid....wat een geweldige vondst....
Welke overheid? De overheid van welk land? Ik weet zeker dat er een heel stel overheden zijn die het heel erg fijn zouden vinden als ze hun eigen rootcertificaten toe zouden kunnen laten voegen aan browsers.
Ja, echt top hoor, goed nagedacht, echt een aanwinst voor security ben jij.... De Overheid....wat een geweldige vondst....
Er is bij de introductie van het WWW nooit een overheid nodig geweest. Elke domme klootzak kon er dankbaar gebruik van maken. Dat tegenwoordig heel veel domme klotzakken daar nog steeds dankbaar gebruik van kunnen en mogen maken is prima. Er komen daarmee wel meer mensen on-line die tamelijk aggressief worden om een domme klootzak gevonden te worden. Overheden ook. Of firma's met klinkende namen. Of browser makers. Heel zo een mooi paradijs kado gekregen, en niet weten hoe snel ze erop moeten pissen.
Die zeikstraal houdt op. Internet gaat door.
Welke overheid? De overheid van welk land? Ik weet zeker dat er een heel stel overheden zijn die het heel erg fijn zouden vinden als ze hun eigen rootcertificaten toe zouden kunnen laten voegen aan browsers.
Dat is nu toch al zo? De Staat der Nederlanden heeft al jaaaaaaren een rootcertificaat.
Ik denk dat het wel goed zou zijn als er een van de browserfabrikanten onafhankelijke autoriteit is en een mechanisme
dat onafhankelijk is van browser- en operating system updates.
En wellicht zou die autoriteit onderscheid kunnen maken tussen regio's en gebruiksprofielen.
Zo zou het voor veel gebruikers prima zijn als de rootcertificaten van vreemde overheden niet vertrouwd worden,
die worden toch waarschijnlijk alleen gebruikt voor diensten gericht op de inwoners van die landen, en als dat niet
zo is dan is het prima als er alarmbellen gaan rinkelen.
Ook denk ik dat er lijsten moeten komen van domeinnamen waarvoor die uitgevers wel en geen certificaten kunnen
uitgeven. Prima dat "de Staat der Nederlanden" certificaten uitgeeft voor overheid.nl enzo, maar als er een certificaat
wordt uitgegeven voor een ongerelateerd .com domein dan moet er een waarschuwing verschijnen, in ieder geval
als de gebruiker dat wil. Want als ze een certificaat uitgeven voor gmail.com dan is er iets aan de hand.
Welke overheid? De overheid van welk land? Ik weet zeker dat er een heel stel overheden zijn die het heel erg fijn zouden vinden als ze hun eigen rootcertificaten toe zouden kunnen laten voegen aan browsers.
Ja, echt top hoor, goed nagedacht, echt een aanwinst voor security ben jij.... De Overheid....wat een geweldige vondst....
Was dat een reactie op mijn reactie? Want in dat geval denk ik dat ik me niet goed duidelijk heb gemaakt. Mijn reactie was, voor mij in elk geval duidelijk, bedoeld als argument tegen de stelling van Anoniem. Het moge duidelijk zijn dat die "heel stel overheden" die heel graag eigen rootcertificaten willen niet de Xanadu bureaucracy of the Seraphim Incorruptible zijn.
Dat is nu toch al zo? De Staat der Nederlanden heeft al jaaaaaaren een rootcertificaat.
<snip>
Dat klopt inderdaad, en is op zich uit principiele argumenten ook niet zo'n goede zaak denk ik, zeker niet aangezien ze de certificaten voor hun eigen sites ermee signen en ze daarmee dus feitelijk zeggen "Dit is onze site en die is goed, want dat hebben wij zelf gezegd". Maar goed, het gevaar zit 'm natuurlijk met name in overheden van staten als, om er slechts een paar te noemen, Turkije, Saudi-Arabie, Iran e.d waar persvrijheid en toegang tot informatie onder druk staat. Die van NL en vergelijkbare landen is minder een issue (alhoewel ook hier onfrisse zaken gebeuren uiteraard, en ook hier de staat nog wel eens dingen graag verborgen wil houden).
Dat is nu toch al zo? De Staat der Nederlanden heeft al jaaaaaaren een rootcertificaat.
<snip>
Dat klopt inderdaad, en is op zich uit principiele argumenten ook niet zo'n goede zaak denk ik, zeker niet aangezien ze de certificaten voor hun eigen sites ermee signen en ze daarmee dus feitelijk zeggen "Dit is onze site en die is goed, want dat hebben wij zelf gezegd". Maar goed, het gevaar zit 'm natuurlijk met name in overheden van staten als, om er slechts een paar te noemen, Turkije, Saudi-Arabie, Iran e.d waar persvrijheid en toegang tot informatie onder druk staat. Die van NL en vergelijkbare landen is minder een issue (alhoewel ook hier onfrisse zaken gebeuren uiteraard, en ook hier de staat nog wel eens dingen graag verborgen wil houden).
Nou zolang de minister van waarheid hier keer op keer in de talkshows zit te verkondigen dat ze graag de vrijheid
van meningsuiting op internet wil beperken als de geuite meningen niet overeenkomen met de hare cq haar wereldbeeld
lijkt met dat je Nederland niet veel anders kunt classificeren als pak em beet Turkije of Polen. Dat het in andere landen
nog veel verder gaat is dan een schrale troost.
Maar het issue met certificaten is niet zozeer de beperking van de persvrijheid en toegang tot informatie, maar meer
de mogelijkheid die dit biedt om encrypted verbindingen heel simpel af te luisteren. Als het de Staat der Nederlanden
belieft kunnen ze jouw internet verbinding voorzien van een man-in-the-middle die alle encrypted verbindingen
openbreekt en aan jouw kant voorziet van een keurig door de browser vertrouwd certificaat, zonder dat je iets in de
gaten hebt als je niet heel erg zit op te letten.
Daarom lijkt het me handiger als een browser de domeinnamen waarvoor een certificaat mag worden uitgegeven via
een bepaalde root een beetje beperkt. En dat zou niet moeten door een hard gecodeerde lijst die bedacht wordt door
de browsermaker, maar door een neutraler systeem waarin gebruikers zelf kunnen kiezen welke functionaliteit
ze willen. Een van de keuzes kan dan zijn "iedereen mag alles uitgeven en we vertrouwen het allemaal", dus wat het
nu is. Maar beperktere varianten zijn ook denkbaar (zoals "rootcertificaten van andere staten dan Nederland
vertrouwen we niet" en "het Staat der Nederlanden rootcertificaat mag alleen voor sites van de Nederlandse overheid
gebruikt worden")
Die haalt ze dus ook bij darkmatter vandaan...
Da's typisch.
En jij wilt hun keuzes wet maken.
Da's nog typischer.
Het wordt tijd dat DANE leidend wordt.
En dat CAA DNS records preciezer kunnen limiteren.
gebruikt worden"
Welke overheid? De overheid van welk land? Ik weet zeker dat er een heel stel overheden zijn die het heel erg fijn zouden vinden als ze hun eigen rootcertificaten toe zouden kunnen laten voegen aan browsers.
Ja, echt top hoor, goed nagedacht, echt een aanwinst voor security ben jij.... De Overheid....wat een geweldige vondst....
1. personen, lichamen aan wie het gezag is toevertrouwd, m.n. door de wet
Dat een overheid misschien niet functioneerd, is een ander verhaal. Dat is ander probleem dat een andere aanpak nodig heeft. En dan heb ik nog liever dat er een overheid over beslist waar ik voor gekozen heb dan nu de Amerikaanse.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
