Chrome en Firefox blokkeren certificaat Kazachstaanse overheid
Google en Mozilla hebben besloten een certificaat van de Kazachstaanse overheid te blokkeren om zo te voorkomen dat het verkeer van Chrome- en Firefox-gebruikers in het land kan worden onderschept. Dat hebben beide bedrijven via een blogposting bekendgemaakt.
Kazachstaanse providers vroege vorige maand hun klanten via sms en hun eigen websites om op elk apparaat met internettoegang een door de overheid uitgegeven certificaat te installeren waarmee het https-verkeer kan worden onderschept. Bij gebruikers die dit niet deden zou de internettoegang worden beperkt. Volgens de providers was de installatie van het certificaat noodzakelijk om de verspreiding van door de wet verboden informatie tegen te gaan.
Begin deze maand stelde de Kazachstaanse overheid dat het om een test ging en dat het plan werd gestaakt. De Kazachstaanse inlichtingendienst liet echter wel weten dat het certificaat in de toekomst mogelijk weer zou worden uitgerold als zich een dreiging voor de nationale veiligheid in de vorm van cyber- en informatieaanvallen zou voordoen. Nu de test is afgerond kunnen burgers het certificaat van hun computers en telefoons weer verwijderen, zo liet de dienst weten.
Om het onderscheppen en aanpassen van versleuteld tls-verkeer te voorkomen hebben Google en Mozilla ervoor gekozen om het rootcertificaat van de Kazachstaanse overheid te blokkeren. Zelfs als gebruikers het certificaat hebben geïnstalleerd wordt het niet door de browsers vertrouwd. Wanneer gebruikers een website bezoeken die van het certificaat gebruikmaakt laat de browser een foutmelding zien.
Volgens Google is het niet juist om met certificaten verkeer op het openbare internet te onderscheppen. "We nemen dit soort acties niet zomaar, maar het beschermen van onze gebruikers en de integriteit van het web is de reden dat Firefox bestaat", zegt Mozillas Marshall Erwin. Gebruikers hoeven niets te doen om het certificaat door de browsers te laten blokkeren. Mozilla adviseert Kazachstaanse gebruikers daarnaast om naar het gebruik van een vpn of Tor Browser te kijken en wanneer het certificaat is geïnstalleerd alle wachtwoorden te wijzigen.
zonder dat dit ophef veroorzaakt en komen ermee weg?
#sockpuppet
deze zijn puur spyware men zoekt gelijk om de 1 a2 minuten contact met het bedrijf geloof me kijk maar bij google
op je account bij google zie je het zo.bij deze
zonder dat dit ophef veroorzaakt en komen ermee weg?
Het is niet erg praktisch om dat certificaat te blokkeren. Wat je eigenlijk zou willen is een "alert" vinkje per rootcertificaat
zodat als een site dit certificaat gebruikt er iets verandert aan het slotje (andere kleur, uitroepteken erbij ofzo) zodat het
zou kunnen opvallen als alle sites ineens dat certificaat gebruiken in plaats van alleen sites van de overheid.
[*] Tenzij ze de HSTS database uit hun browserprofiel verwijderen, of hun hele browserprofiel resetten - en de Kazachstaanse overheid, on-the-fly, HSTS headers verwijdert zodat deze niet opnieuw worden toegevoegd.
De "oplossing" voor gebruikers wordt dan al snel genoegen nemen met http (ipv https) of het gebruiken van een andere webbrowser die zo'n rootcertificaat niet blokkeert. E.e.a. wellicht met als gevolg dat de Kazachstaanse overheid een aangepaste variant van Chromium en Firefox beschikbaar gaat stellen (open source kent niet alleen voordelen).
Maar aangezien, zoals EnGeeX aangeeft, Kazachstan het plan alweer heeft ingetrokken, lijkt dit vooral een inhoudsloze "kijk ons eens voor vrijheden vechten" reclamecampagne.
Daarnaast slaat #sockpuppet natuurlijk de spijker op z'n kop. Het zou mij niet verbazen als onderdrukte bevolkingsgroepen zoals de Oeigoeren met dit soort inbreuken te maken zouden blijken te hebben.
wie zegt ons niet dat stiekem het toch in werking is.
Ehh google en firefox maken een browser. Die heeft een aantal default certificaten waarmee andere gesignde certs wel of niet kunnen worden vertrouwt. Het is hun recht, nee plicht om certificaten die niet vertrouwd worden te verwijderen. Als ze dat niet doen is hun software brak.
Welke certificaten wel en niet vertrouwd worden is onderling tussen mensen afgesproken. Dat is het al vanaf dag 1. Een kwestie van vertrouwen gebaseerd op afspraken. EN nu hebben twee partijen afgesproken dat een bepaalde cert niet vertrouwd word. Als je het niet eens bent met hun afspraken moet je andere software gebruiken. Gene probleem.
Nee, maar Amerika kan wel besluiten om handelssancties op te leggen. En spullen uit jouw land niet meer te vertrouwen. Dat is geen probleem vour jou, want het staat je geheel vrij om te handelen met de rest van de wereld.
Een hele gevaarlijke ontwikkeling dat Amerikaanse internet bedrijven teveel met politiek bemoeien.
Dat doen ze dus al vanaf dag 1 van het onstaan van SSL. Zo werkt het.
Het is geen straf, het is de werking van SSL. Het staat jou vrij om hun producten niet te gebruiken. Maar functioneren zo geheel naar behoren.
Het is erger dan wanneer die bedrijven, ongeacht dat bepaalde certificaten niet meer vertrouwd dienen te worden, omdat de eigenaren er shady praktijken op na houden, ze toch niet uit hun producten verwijden. Dat zou veel enger zijn. En dan zou hun software gewoon stuk, of in ieder geval outdated zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
