image

Mozilla overweegt om certificaten DarkMatter uit Firefox te verwijderen

dinsdag 5 maart 2019, 10:21 door Redactie, 16 reacties

Mozilla overweegt om certificaten van het omstreden securitybedrijf DarkMatter uit Firefox te verwijderen, zo heeft de browserontwikkelaar tegenover persbureau Reuters laten weten. DarkMatter wil als rootcertificaatautoriteit aan Firefox worden toegevoegd.

Browsers en besturingssystemen vertrouwen tls-certificaten, die websites voor een versleutelde verbinding gebruiken, alleen als ze het rootcertificaat vertrouwen waaronder het tls-certificaat is uitgegeven. De Amerikaanse burgerrechtenbeweging EFF is bang dat als DarkMatter wordt toegevoegd, het tls-certificaten voor allerlei domeinen kan uitgeven die vervolgens voor man-in-the-middle-aanvallen zijn te gebruiken.

DarkMatter kwam onlangs in het nieuws over cybersurveillance in de Verenigde Arabische Emiraten. Het securitybedrijf beschikt daarnaast al over een "intermediate" certificaat van een ander bedrijf genaamd QuoVadis, dat eigendom van DigiCert is. Met een intermediate certificaat kan DarkMatter voor willekeurige domeinen tls-certificaten uitgeven. Het toezicht vindt echter plaats door DigiCert, waardoor de schade beperkt blijft, aldus de EFF.

Naar aanleiding van het verzoek van DarkMatter om als rootcertificaatautoriteit te worden toegevoegd vroegen verschillende bedrijven en organisaties aan Mozilla om de certificaten van het securitybedrijf in te trekken. Iets dat de browserontwikkelaar overweegt. "We hebben op dit moment geen technisch bewijs van misbruik door DarkMatter, maar de berichtgeving is sterk bewijs dat misbruik zich waarschijnlijk zal voordoen als dat nog niet het geval is", aldus Selena Deckelmann van Mozilla. Ze stelt dat Mozilla overweegt om mogelijk de meer dan 400 certificaten van DarkMatter, of een deel daarvan, uit Firefox te verwijderen.

Reacties (16)
05-03-2019, 13:45 door Anoniem
Mijn stem gaat nog steeds naar Honest Achmed als toe te voegen rootCA.
05-03-2019, 14:03 door Anoniem
Ik heb het manual gedaan.
Leverde mij geen enkel probleem op;
heb dagenlang niks aan SSL errors gezien.

Totdat ik https://www.rijksoverheid.nl/ wilde bezoeken.
Heel typisch dat zij blijkbaar hun certificaten halen bij een bedrijf uit Qatar (QuoVadis, een dochter van DarkMatter) die aan mass-surveilance doet.
En Erdogan is er duidelijk ook klant.

Dan begin je ook wel te snappen waarom er 2 (of 1?) Israelische CA zijn (of is), die de certificaten super-goedkoop aanbiedt.
Te groot om zomaar te laten vallen, zoals bij diginotar zomaar kon.
Maar bij de Franse overheid (fake gmail.com certificaten) al lastiger werd.
05-03-2019, 14:25 door Anoniem
Het wordt tijd dat browser leveranciers dit niet meer bepalen. Maar de overheid of zo.
05-03-2019, 14:51 door Anoniem
Door Anoniem: Mijn stem gaat nog steeds naar Honest Achmed als toe te voegen rootCA.

Hij's fijn ;)
In die richting dacht ik nou ook, maar jij weet het te benoemen.
05-03-2019, 15:09 door Anoniem
Door Anoniem: Het wordt tijd dat browser leveranciers dit niet meer bepalen. Maar de overheid of zo.
Het is uberhaupt vreemd dat dit in een browser geregeld wordt in plaats van in het OS. Natuurlijk zullen de grote browserbouwers hun zaken wel op orde hebben, maat steeds meer applicaties werken met certificaten, moeten die allemaal hun eigen certificate oplossing gaan bedenken?
05-03-2019, 16:21 door Reinder
Door Anoniem: Het wordt tijd dat browser leveranciers dit niet meer bepalen. Maar de overheid of zo.

Welke overheid? De overheid van welk land? Ik weet zeker dat er een heel stel overheden zijn die het heel erg fijn zouden vinden als ze hun eigen rootcertificaten toe zouden kunnen laten voegen aan browsers.
05-03-2019, 16:46 door Anoniem
Door Reinder:
Door Anoniem: Het wordt tijd dat browser leveranciers dit niet meer bepalen. Maar de overheid of zo.

Welke overheid? De overheid van welk land? Ik weet zeker dat er een heel stel overheden zijn die het heel erg fijn zouden vinden als ze hun eigen rootcertificaten toe zouden kunnen laten voegen aan browsers.

Ja, echt top hoor, goed nagedacht, echt een aanwinst voor security ben jij.... De Overheid....wat een geweldige vondst....
05-03-2019, 19:59 door Anoniem
Door Anoniem:
Door Reinder:
Door Anoniem: Het wordt tijd dat browser leveranciers dit niet meer bepalen. Maar de overheid of zo.

Welke overheid? De overheid van welk land? Ik weet zeker dat er een heel stel overheden zijn die het heel erg fijn zouden vinden als ze hun eigen rootcertificaten toe zouden kunnen laten voegen aan browsers.

Ja, echt top hoor, goed nagedacht, echt een aanwinst voor security ben jij.... De Overheid....wat een geweldige vondst....

Er is bij de introductie van het WWW nooit een overheid nodig geweest. Elke domme klootzak kon er dankbaar gebruik van maken. Dat tegenwoordig heel veel domme klotzakken daar nog steeds dankbaar gebruik van kunnen en mogen maken is prima. Er komen daarmee wel meer mensen on-line die tamelijk aggressief worden om een domme klootzak gevonden te worden. Overheden ook. Of firma's met klinkende namen. Of browser makers. Heel zo een mooi paradijs kado gekregen, en niet weten hoe snel ze erop moeten pissen.

Die zeikstraal houdt op. Internet gaat door.
05-03-2019, 20:07 door Anoniem
Door Reinder:
Door Anoniem: Het wordt tijd dat browser leveranciers dit niet meer bepalen. Maar de overheid of zo.

Welke overheid? De overheid van welk land? Ik weet zeker dat er een heel stel overheden zijn die het heel erg fijn zouden vinden als ze hun eigen rootcertificaten toe zouden kunnen laten voegen aan browsers.

Dat is nu toch al zo? De Staat der Nederlanden heeft al jaaaaaaren een rootcertificaat.
Ik denk dat het wel goed zou zijn als er een van de browserfabrikanten onafhankelijke autoriteit is en een mechanisme
dat onafhankelijk is van browser- en operating system updates.
En wellicht zou die autoriteit onderscheid kunnen maken tussen regio's en gebruiksprofielen.

Zo zou het voor veel gebruikers prima zijn als de rootcertificaten van vreemde overheden niet vertrouwd worden,
die worden toch waarschijnlijk alleen gebruikt voor diensten gericht op de inwoners van die landen, en als dat niet
zo is dan is het prima als er alarmbellen gaan rinkelen.

Ook denk ik dat er lijsten moeten komen van domeinnamen waarvoor die uitgevers wel en geen certificaten kunnen
uitgeven. Prima dat "de Staat der Nederlanden" certificaten uitgeeft voor overheid.nl enzo, maar als er een certificaat
wordt uitgegeven voor een ongerelateerd .com domein dan moet er een waarschuwing verschijnen, in ieder geval
als de gebruiker dat wil. Want als ze een certificaat uitgeven voor gmail.com dan is er iets aan de hand.
05-03-2019, 22:29 door Reinder
Door Anoniem:
Door Reinder:
Door Anoniem: Het wordt tijd dat browser leveranciers dit niet meer bepalen. Maar de overheid of zo.

Welke overheid? De overheid van welk land? Ik weet zeker dat er een heel stel overheden zijn die het heel erg fijn zouden vinden als ze hun eigen rootcertificaten toe zouden kunnen laten voegen aan browsers.

Ja, echt top hoor, goed nagedacht, echt een aanwinst voor security ben jij.... De Overheid....wat een geweldige vondst....

Was dat een reactie op mijn reactie? Want in dat geval denk ik dat ik me niet goed duidelijk heb gemaakt. Mijn reactie was, voor mij in elk geval duidelijk, bedoeld als argument tegen de stelling van Anoniem. Het moge duidelijk zijn dat die "heel stel overheden" die heel graag eigen rootcertificaten willen niet de Xanadu bureaucracy of the Seraphim Incorruptible zijn.
05-03-2019, 22:44 door Reinder
Door Anoniem:
Dat is nu toch al zo? De Staat der Nederlanden heeft al jaaaaaaren een rootcertificaat.
<snip>

Dat klopt inderdaad, en is op zich uit principiele argumenten ook niet zo'n goede zaak denk ik, zeker niet aangezien ze de certificaten voor hun eigen sites ermee signen en ze daarmee dus feitelijk zeggen "Dit is onze site en die is goed, want dat hebben wij zelf gezegd". Maar goed, het gevaar zit 'm natuurlijk met name in overheden van staten als, om er slechts een paar te noemen, Turkije, Saudi-Arabie, Iran e.d waar persvrijheid en toegang tot informatie onder druk staat. Die van NL en vergelijkbare landen is minder een issue (alhoewel ook hier onfrisse zaken gebeuren uiteraard, en ook hier de staat nog wel eens dingen graag verborgen wil houden).
05-03-2019, 23:59 door Anoniem
Door Reinder:
Door Anoniem:
Dat is nu toch al zo? De Staat der Nederlanden heeft al jaaaaaaren een rootcertificaat.
<snip>

Dat klopt inderdaad, en is op zich uit principiele argumenten ook niet zo'n goede zaak denk ik, zeker niet aangezien ze de certificaten voor hun eigen sites ermee signen en ze daarmee dus feitelijk zeggen "Dit is onze site en die is goed, want dat hebben wij zelf gezegd". Maar goed, het gevaar zit 'm natuurlijk met name in overheden van staten als, om er slechts een paar te noemen, Turkije, Saudi-Arabie, Iran e.d waar persvrijheid en toegang tot informatie onder druk staat. Die van NL en vergelijkbare landen is minder een issue (alhoewel ook hier onfrisse zaken gebeuren uiteraard, en ook hier de staat nog wel eens dingen graag verborgen wil houden).

Nou zolang de minister van waarheid hier keer op keer in de talkshows zit te verkondigen dat ze graag de vrijheid
van meningsuiting op internet wil beperken als de geuite meningen niet overeenkomen met de hare cq haar wereldbeeld
lijkt met dat je Nederland niet veel anders kunt classificeren als pak em beet Turkije of Polen. Dat het in andere landen
nog veel verder gaat is dan een schrale troost.

Maar het issue met certificaten is niet zozeer de beperking van de persvrijheid en toegang tot informatie, maar meer
de mogelijkheid die dit biedt om encrypted verbindingen heel simpel af te luisteren. Als het de Staat der Nederlanden
belieft kunnen ze jouw internet verbinding voorzien van een man-in-the-middle die alle encrypted verbindingen
openbreekt en aan jouw kant voorziet van een keurig door de browser vertrouwd certificaat, zonder dat je iets in de
gaten hebt als je niet heel erg zit op te letten.

Daarom lijkt het me handiger als een browser de domeinnamen waarvoor een certificaat mag worden uitgegeven via
een bepaalde root een beetje beperkt. En dat zou niet moeten door een hard gecodeerde lijst die bedacht wordt door
de browsermaker, maar door een neutraler systeem waarin gebruikers zelf kunnen kiezen welke functionaliteit
ze willen. Een van de keuzes kan dan zijn "iedereen mag alles uitgeven en we vertrouwen het allemaal", dus wat het
nu is. Maar beperktere varianten zijn ook denkbaar (zoals "rootcertificaten van andere staten dan Nederland
vertrouwen we niet" en "het Staat der Nederlanden rootcertificaat mag alleen voor sites van de Nederlandse overheid
gebruikt worden")
06-03-2019, 08:41 door Anoniem
Door Anoniem: Het wordt tijd dat browser leveranciers dit niet meer bepalen. Maar de overheid of zo.

Die haalt ze dus ook bij darkmatter vandaan...
06-03-2019, 10:49 door Anoniem
Het wordt tijd dat browser leveranciers dit niet meer bepalen. Maar de overheid of zo.
Die haalt ze dus ook bij darkmatter vandaan...
Dus weg van diginotar, gegaan naar QuoVadis...
Da's typisch.
En jij wilt hun keuzes wet maken.
Da's nog typischer.

Het wordt tijd dat DANE leidend wordt.
En dat CAA DNS records preciezer kunnen limiteren.

"het Staat der Nederlanden rootcertificaat mag alleen voor sites van de Nederlandse overheid
gebruikt worden"
En het Franse niet voor gmail...
06-03-2019, 12:04 door Anoniem
Door Anoniem:
Door Reinder:
Door Anoniem: Het wordt tijd dat browser leveranciers dit niet meer bepalen. Maar de overheid of zo.

Welke overheid? De overheid van welk land? Ik weet zeker dat er een heel stel overheden zijn die het heel erg fijn zouden vinden als ze hun eigen rootcertificaten toe zouden kunnen laten voegen aan browsers.

Ja, echt top hoor, goed nagedacht, echt een aanwinst voor security ben jij.... De Overheid....wat een geweldige vondst....

1. personen, lichamen aan wie het gezag is toevertrouwd, m.n. door de wet

Dat een overheid misschien niet functioneerd, is een ander verhaal. Dat is ander probleem dat een andere aanpak nodig heeft. En dan heb ik nog liever dat er een overheid over beslist waar ik voor gekozen heb dan nu de Amerikaanse.
06-03-2019, 12:11 door Anoniem
Door Anoniem: Het wordt tijd dat browser leveranciers dit niet meer bepalen. Maar de overheid of zo.
Lijkt me een top idee, certificaten van noord-Korea, Iran, Turkije, etc.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.