image

Google wil levensduur certificaten verkorten naar 13 maanden

maandag 19 augustus 2019, 06:54 door Redactie, 20 reacties
Laatst bijgewerkt: 19-08-2019, 11:43

Als het aan Google ligt zijn tls-certificaten die websites voor een versleutelde verbinding gebruiken straks nog maximaal 13 maanden geldig, in plaats van de 2 jaar en 3 maanden die nu wordt gehanteerd. Het voorstel van Googles Ryan Sleevi werd onlangs besproken tijdens een bijeenkomst van het CA/Browser Forum en afgelopen vrijdag gedeeld via de mailinglist van de organisatie.

Het CA/Browser Forum is een consortium van certificate authorities en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten. Volgens Sleevi, die steun kreeg voor zijn voorstel van Apple en Let's Encrypt, heeft het verkorten van de levensduur allerlei veiligheidsvoordelen. In het geval van problemen met uitgegeven certificaten zullen die namelijk veel sneller verlopen dan nu het geval is.

Daarnaast zorgt de huidige lange levensduur van certificaten ervoor dat gebruikers vergeten hoe of wanneer ze die moeten vervangen. Sleevi pleit ervoor om het voorstel dan ook snel door te voeren. Browsers zouden dan vanaf maart 2020 de kortere levensduur van certificaten kunnen gaan handhaven. Het zal echter nog eens 825 dagen duren voordat het laatste certificaat met een langere levensduur is verlopen en browsers van de kortere levensduur zullen profiteren. Tegen die tijd zijn we al in juni 2022 beland, merkt Sleevi op.

Certificaatautoriteit DigiCert is niet blij met het plan. Het bedrijf twijfelt aan de beoogde compliance-voordelen. Door een kortere levensduur kunnen certificaten sneller aan nieuwe regels voldoen, maar DigiCert stelt dat het CA/Browser Forum juist regels moet opstellen die lange tijd kunnen meegaan. "Deze veranderingen maken het veel lastiger voor bedrijven om hun internetverkeer en klanten te beschermen, zonder dat het voordelen heeft", zegt Timothy Hollebeek van DigiCert. Het bedrijf zal zich dan ook tegen het voorstel verzetten. Volgens beveiligingsonderzoeker Scott Helme lijkt het er echter op dat DigiCert vooral de commerciële belangen van diens grote klanten wil beschermen.

Reacties (20)
19-08-2019, 07:26 door Anoniem
En dit vergroot opnieuw de macht van Google en de Cloudboys.
Alles gratis. Jij bent het produkt.
19-08-2019, 08:45 door Anoniem
Daarnaast zorgt de huidige lange levensduur van certificaten ervoor dat gebruikers vergeten hoe of wanneer ze die moeten vervangen.
Ik ben het over het algemeen eens met dit verhaal, maar dit vind ik wel een erg mager argument. Als we al dingen niet gaan doen omdat beheerders (niet gewone gebruikers) dingen niet kunnen, dan kunnen we maar beter de meeste systemen gewoon uit gooien.

Volgens beveiligingsonderzoeker Scott Helme lijkt het er echter op dat DigiCert vooral de eigen commerciële belangen wil beschermen.
Wat apart is, aangezien je als certificatenboer bij een kortere geldigheidsduur, je meer certificaten zal verkopen per jaar.
19-08-2019, 09:41 door Briolet
Door Anoniem:
Volgens beveiligingsonderzoeker Scott Helme lijkt het er echter op dat DigiCert vooral de eigen commerciële belangen wil beschermen.
Wat apart is, aangezien je als certificatenboer bij een kortere geldigheidsduur, je meer certificaten zal verkopen per jaar.

Dat heeft Scott ook niet geschreven. De redactie citeert hem verkeerd. Scott schrijft niet dat DigiCert zijn eigen belang verdedigd, maar de belangen van zijn klanten. En die klanten hebben wel een belang om ze niet steeds te vervangen/kopen.
19-08-2019, 10:16 door Anoniem
Door Anoniem: En dit vergroot opnieuw de macht van Google en de Cloudboys.
Alles gratis. Jij bent het produkt.

Leg eens uit.
Ik zit pas 20 jaar in de certificaten. Misschien mis ik iets.

Peter
19-08-2019, 10:30 door Anoniem
Alleen blijft het onveilig op de mainland China infrastructuur.
Bij baidu.com en op de baidu browser.
Maar daar heeft Google weer een andere insteek.
#sockpuppet
19-08-2019, 11:10 door Anoniem
Door Anoniem:
Daarnaast zorgt de huidige lange levensduur van certificaten ervoor dat gebruikers vergeten hoe of wanneer ze die moeten vervangen.
Ik ben het over het algemeen eens met dit verhaal, maar dit vind ik wel een erg mager argument. Als we al dingen niet gaan doen omdat beheerders (niet gewone gebruikers) dingen niet kunnen, dan kunnen we maar beter de meeste systemen gewoon uit gooien.

Volgens beveiligingsonderzoeker Scott Helme lijkt het er echter op dat DigiCert vooral de eigen commerciële belangen wil beschermen.
Wat apart is, aangezien je als certificatenboer bij een kortere geldigheidsduur, je meer certificaten zal verkopen per jaar.
Grotere organisaties kopen geen certificaten per stuk, die betalen een vast bedrag per jaar ongeacht hoeveel certificaten ze aanvragen.
19-08-2019, 11:23 door Anoniem
Gratis SSL certificaten met subdomeinen aangemaakt waar de rechtmatige eigenaar geen weet van heeft. Wie was mede drijvende kracht achter de let's encrypt campagne? Juist, Google.
19-08-2019, 11:24 door Anoniem
Door Anoniem: En dit vergroot opnieuw de macht van Google en de Cloudboys.
Alles gratis. Jij bent het produkt.
het staat je gehaal vrij om een betaald of gratis certificaat te kiezen dus begrijp deze opmerking niet helemaal.
19-08-2019, 11:43 door Anoniem
Welk probleem wordt hiermee opgelost?
Geen, foute certs kun je revoken

Welk probleem wordt geintroduceert?
Elk half jaar certs updaten? Op soms wel 10.000 systemen?

Wat is het voordeel voor de change requester?
Muchos $$$$$
19-08-2019, 11:51 door Anoniem
Door Anoniem:
Leg eens uit.
Ik zit pas 20 jaar in de certificaten. Misschien mis ik iets.

Peter
Hij/Zij bedoelt dat Google steeds meer macht heeft wat betreft internetzaken:
1. Google wou van IE6 af, dus zetten ze een banner op YouTube zodat IE6 werd afgeraden voor Chrome.
2. Google wil van AdBlockers af, dus veranderen ze een API waardoor ze veel minder krachtig worden.
3. Android is in principe opensource maar Google heeft het zo gemaakt dat Android zonder de Play-services bijna onbruikbaar is.
4. Nu MS Edge wordt omgebouwd naar Chromium was Google blij, want 1 rendering engine voor alle browsers zou makkelijk zijn toch? En laat dat nou net diegene van Google zelf zijn.
5. Als Google een certificaten bedrijf niet aanstaat gooien ze die uit Chrome, en maken het daarmee ongeveer waardeloos voor de meeste internetgebruikers.
6. Als er wordt ondekt dat Google je afluistert, noemen ze de klokkenluider iemand met wangedrag.

1. https://www.theverge.com/2019/5/4/18529381/google-youtube-internet-explorer-6-kill-plot-engineer
2. https://latesthackingnews.com/2019/01/26/chrome-api-update-kills-ad-blockers-along-with-numerous-other-extensions/
3. https://www.makeuseof.com/tag/using-android-without-google/
4. https://www.theverge.com/2018/12/6/18129287/google-microsoft-edge-chromium-response
4. https://www.security.nl/posting/591404/Mozilla+vreest+nieuw+browsermonopolie+met+Chromium
5. https://www.security.nl/posting/618305/Google+gaat+certificaten+securitybedrijf+DarkMatter+blokkeren
6. https://www.security.nl/posting/616905/Google+hekelt+medewerker+die+Nederlandse+opnamen+lekte
19-08-2019, 12:05 door Anoniem
Door Anoniem:
Daarnaast zorgt de huidige lange levensduur van certificaten ervoor dat gebruikers vergeten hoe of wanneer ze die moeten vervangen.
Ik ben het over het algemeen eens met dit verhaal, maar dit vind ik wel een erg mager argument. Als we al dingen niet gaan doen omdat beheerders (niet gewone gebruikers) dingen niet kunnen, dan kunnen we maar beter de meeste systemen gewoon uit gooien.

Het is een volkomen terecht argument .
Als je dingen weinig of nooit doet, verleer je ze, vergeet je ze en worden mensen bang om het doen als het dan toch eens nodig is.

Dat geldt net zo goed voor beheerders en handigheid in het vervangen van certificaten (en uberhaupt bijhouden waar welke certificaten staan).

In twee+ jaar kunnen er zomaar een paar mensen naar een andere functie of andere werkgever gegaan zijn, en dan kan de institutionele kennis wat/waar/hoe heel snel verdampen.

Hetzelfde argument geldt voor het _testen_ van disaster recovery procedures en systemen.
19-08-2019, 12:44 door Anoniem
Waarom laat men het risico niet over aan de klant. Het gaat hier toch om volwassen mensen?
Wat is dat nou voor een betutteling van die Google man.
CB-Forum hoeft slechts te informeren, te waarschuwen en te adviseren,
en laat iedereen dan zelf zijn risicoanalyse maar maken wat het beste voor ze is.

Tuurlijk, een certificaat dat 2x zo lang meegaat heeft ongeveer een ruim 2x grotere kans om voortijdig te worden ingetrokken vanwege security-problemen. Dat wisten iedereen toch al lang?
19-08-2019, 12:49 door Prx
Door Anoniem:
[...]

In twee+ jaar kunnen er zomaar een paar mensen naar een andere functie of andere werkgever gegaan zijn, en dan kan de institutionele kennis wat/waar/hoe heel snel verdampen.

Hetzelfde argument geldt voor het _testen_ van disaster recovery procedures en systemen.

Maar dat is volgens mij ook juist de reden dat van dit soort zaken er werkinstructies dienen te zijn hoe het uitgevoerd dient te worden. Nou ken ik zelf ook weinig omgevingen waar men dit soort Knowledge Bases echt goed op orde heeft, maar we zijn hier dan ook theoretisch aan het praten.
19-08-2019, 13:00 door Anoniem
Door Anoniem:
Door Anoniem:
Leg eens uit.
Ik zit pas 20 jaar in de certificaten. Misschien mis ik iets.

Peter
Hij/Zij bedoelt dat Google steeds meer macht heeft wat betreft internetzaken:
1. Google wou van IE6 af, dus zetten ze een banner op YouTube zodat IE6 werd afgeraden voor Chrome.
2. Google wil van AdBlockers af, dus veranderen ze een API waardoor ze veel minder krachtig worden.
3. Android is in principe opensource maar Google heeft het zo gemaakt dat Android zonder de Play-services bijna onbruikbaar is.
4. Nu MS Edge wordt omgebouwd naar Chromium was Google blij, want 1 rendering engine voor alle browsers zou makkelijk zijn toch? En laat dat nou net diegene van Google zelf zijn.
5. Als Google een certificaten bedrijf niet aanstaat gooien ze die uit Chrome, en maken het daarmee ongeveer waardeloos voor de meeste internetgebruikers.
6. Als er wordt ondekt dat Google je afluistert, noemen ze de klokkenluider iemand met wangedrag.

1. https://www.theverge.com/2019/5/4/18529381/google-youtube-internet-explorer-6-kill-plot-engineer
2. https://latesthackingnews.com/2019/01/26/chrome-api-update-kills-ad-blockers-along-with-numerous-other-extensions/
3. https://www.makeuseof.com/tag/using-android-without-google/
4. https://www.theverge.com/2018/12/6/18129287/google-microsoft-edge-chromium-response
4. https://www.security.nl/posting/591404/Mozilla+vreest+nieuw+browsermonopolie+met+Chromium
5. https://www.security.nl/posting/618305/Google+gaat+certificaten+securitybedrijf+DarkMatter+blokkeren
6. https://www.security.nl/posting/616905/Google+hekelt+medewerker+die+Nederlandse+opnamen+lekte

Wanneer we allemaal stoppen met het gebruik van:
1. Google Search Engine
2. Google Chrome browser
3. Google Android

Dan zal de macht langzaam verdwijnen. Maar Chrome is toch zo fijn, Android is de best, en Google Search niet overtroffen. Ondanks de uitstekende alternatieven.
19-08-2019, 17:01 door Anoniem
Door Anoniem: En dit vergroot opnieuw de macht van Google en de Cloudboys.
Alles gratis. Jij bent het produkt.

Het is een heel serieus (gevaarlijk) 'spel'. Hou je kinderen maar binnen als de anderen aan het geo cashen / pokemonnen zijn.
19-08-2019, 22:47 door Anoniem
ik denk dat er een ander verdienmodel achter zit.
De heel grote cloud providers kunne dit gemakkelijker (automatiseren)
fouten van lokale beheerders zorgt voor discontinuïteit in beschikbaarheid.
Dit leidt tot ergernis in de bestuurskamer mbt de eigen IT.
Dat leidt tot gemakkelijker overstappen naar de cloud.
En daar is Google één van de groten.
20-08-2019, 00:04 door Anoniem
Door Anoniem:
Door Anoniem:
Daarnaast zorgt de huidige lange levensduur van certificaten ervoor dat gebruikers vergeten hoe of wanneer ze die moeten vervangen.
Als we al dingen niet gaan doen omdat beheerders (niet gewone gebruikers) dingen niet kunnen, ...
Als je dingen weinig of nooit doet, verleer je ze, vergeet je ze en worden mensen bang om het doen als het dan toch eens nodig is.
Dan moet je het vervangen van certificaten automatiseren. Daar is al software voor en is vast ook nog aan een abo model te koppelen voor bedrijven die dat willen, c.q. leveranciers die hun verdienmodel willen behouden.
20-08-2019, 00:11 door Anoniem
Door Anoniem: Gratis SSL certificaten met subdomeinen aangemaakt waar de rechtmatige eigenaar geen weet van heeft. Wie was mede drijvende kracht achter de let's encrypt campagne? Juist, Google.
Samen met nog een heeeel aantal bedrijven.
20-08-2019, 00:15 door Anoniem
Door Anoniem:
Wanneer we allemaal stoppen met het gebruik van:
1. Google Search Engine
2. Google Chrome browser
3. Google Android

Dan zal de macht langzaam verdwijnen. Maar Chrome is toch zo fijn, Android is de best, en Google Search niet overtroffen. Ondanks de uitstekende alternatieven.

Check, duckduckgo (heeeel incidenteel google)
Check, Firefox
Geen Check, Ik vind Android persoonlijk veel fijner dan Apple, en echt meer smaken zijn er niet.
20-08-2019, 00:22 door Anoniem
Door Anoniem: Welk probleem wordt hiermee opgelost?
Geen, foute certs kun je revoken

Welk probleem wordt geintroduceert?
Elk half jaar certs updaten? Op soms wel 10.000 systemen?

Wat is het voordeel voor de change requester?
Muchos $$$$$

Bij mijn vorige werkgever hebben ze Let's Encrypt aangeboden voor klanten, zo'n 35.000. Is minder werk. Eenmaal goed geautomatiseerd en je hebt er geen omkijken aan. In tegenstelling tot comodo e.a. die telkens weer handmatig aangevraagd moeten worden, met heel veel klanten die wel een website hebben maar totaal niet weten hoe die zertifikaten werken en dus aankloppen bij de hoster met support vragen, cert aanvragen etc, klanten weer waarschuwen dat hun cert verloopt. Geen reactie, cert verloopt, klanten boos aan de lijn etc etc etc
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.