Certificaatautoriteit DigiCert gaat 50.000 EV-certificaten intrekken
Certificaatautoriteit DigiCert gaat naar schatting zo'n 50.000 EV-certificaten intrekken omdat ze niet in een recent auditrapport staan vermeld. Het Nationaal Cyber Security Centrum (NCSC) van de overheid adviseert organisaties om te kijken of er van een getroffen certificaat gebruik wordt gemaakt en die voor 11 juli te vervangen, aangezien DigiCert op die dag de certificaten intrekt.
Naast de bekende tls-certificaten die websites gebruiken voor het aanbieden van een beveiligde verbinding en identificatie zijn er ook EV-certificaten. Deze certificaten moeten gebruikers meer zekerheid geven over de identiteit van de website die ze bezoeken. Bij EV-certificaten werd de naam van de entiteit die het certificaat heeft aangevraagd in de adresbalk van de browser weergegeven, maar inmiddels zijn de meeste browsers daarmee gestopt.
Voordat een EV-certificaat wordt uitgegeven vindt er een uitgebreidere controle plaats dan bij normale tls-certificaten het geval is. EV-certificaten zijn dan ook duurder dan normale tls-certificaten en werden lange tijd anders door de browser weergegeven. Net als normale tls-certificaten worden EV-certificaten door intermediate certificaatautoriteiten uitgegeven.
Om het vertrouwen in certificaatautoriteiten te vergroten werd in 2000 de WebTrust-standaard opgesteld. Een verzameling regels waar certificaatautoriteiten aan moeten voldoen en die jaarlijks door een externe partij worden gecontroleerd. Deze audits omvatten ook de uitgegeven intermediate certificaten die certificaatautoriteiten gebruiken voor het uitgeven van tls-certificaten aan hun klanten.
DigiCert stelt dat intermediate certificaten in auditrapporten altijd stonden vermeld op basis van het geplande gebruik, in plaats van of deze intermediate certificaten in staat waren om EV-certificaten uit te geven. Hierdoor stonden niet alle intermediate certificaten die certificaten konden uitgeven in het auditrapport vermeld. DigiCert merkt op dat dit losstaat van de controle van de EV-certificaten zelf, aangezien daarvan wel is gecontroleerd of ze aan de EV-eisen voldoen. "Het resultaat is een vreemde situatie waar alle certificaten op de EV-eisen zijn getest, maar het rapport niet het specifieke intermediate certificaat vermeldde", aldus DigiCert.
Er is volgens het bedrijf geen directe beveiligingsdreiging, maar vanwege de EV-richtlijnen moet DigiCert al deze intermediate certificaten aankomende zaterdag 11 juli om 20:00 uur hebben ingetrokken, wat inhoudt dat 50.000 uitgegeven EV-certificaten ongeldig worden. Het gaat om EV-certificaten die door CertCentral, Symantec, Thawte en GeoTrust zijn uitgegeven. DigiCert en het NCSC adviseren organisaties om te controleren of ze van een getroffen certificaat gebruikmaken en dit te vervangen. "Gebeurt dit niet, dan wordt het DigiCert-certficaat ongeldig en is bijvoorbeeld een website niet meer bereikbaar", zo laat de overheidsinstantie weten.
Certificatenhandel is gouden business. Lever rommel en nog extra betaald krijgen ook nog. En dat allemaal omdat PKI zo'n triest brok ellende is.
Het worden steeds meer de pennelikkers die de macht krijgen, met hun theoretische problemen.
Laten ze al die moeite liever besteden aan een beter systeem.
Het is wel goede werkverschaffing. Dat ontken ik niet.
Certificatenhandel is gouden business. Lever rommel en nog extra betaald krijgen ook nog. En dat allemaal omdat PKI zo'n triest brok ellende is.
Certificatenhandel is gouden business. Lever rommel en nog extra betaald krijgen ook nog. En dat allemaal omdat PKI zo'n triest brok ellende is.
De muur is niet te hoog of te laag, de fundering is rot en er zitten scheuren in het beton. Daar helpt sauzen met regelverf niet tegen.
Nee, klanten moeten in dit soort gevallen niet betalen normaal gesproken, het is de fout de CA.
Het worden steeds meer de pennelikkers die de macht krijgen, met hun theoretische problemen.
Laten ze al die moeite liever besteden aan een beter systeem.
Omdat het te makkelijk was om EV certs te verkrijgen met de zelfde naam.
Zoals: Company A, LLC in US state X en ook Company A, LLC in US state Y.
Certificatenhandel is gouden business. Lever rommel en nog extra betaald krijgen ook nog. En dat allemaal omdat PKI zo'n triest brok ellende is.
Mmm mijn Let'sEncrypt certificaten zijn gratis. Dus ik snap de ophef van mensen die klagen over het geld niet zo.
Zoals: Company A, LLC in US state X en ook Company A, LLC in US state Y.
Dat heeft niet met "te makkelijk" te maken. Mensen moeten naar de volledige naam kijken, dus ook vestigingsplaats en land. Kijk maar naar de bedrijfsnaam "corona". Er zijn heel veel bloemenzaken met die naam ingeschreven, dus is de plaatsnaam ook onderdeel ven de entiteit
Dat de browserbalk niet alle adresgegevens kan tonen wegens ruimtegebrek, is een goede reden om een wel unieke domeinnaam te tonen. Maar dat is geen reden om te stoppen met een EV certificaat. Als je op het slotje klikt, kun je alsnog de volledige adresgegevens uit het certificaat opvragen en zien dat het om een extra gecontroleerd certificaat gaat.
Certificatenhandel is gouden business. Lever rommel en nog extra betaald krijgen ook nog. En dat allemaal omdat PKI zo'n triest brok ellende is.
Mmm mijn Let'sEncrypt certificaten zijn gratis. Dus ik snap de ophef van mensen die klagen over het geld niet zo.
EV = 'groen slotje' (extra goed gecontroleerd) . Dat zijn jouw gratis LE certificaten niet.
Dus ja - bij EV heb je moeten betalen omdat je iets extra's wilde hebben - en kun je terecht boos zijn als je dat nog een keer moet doen . Een gratis LE cert is niet equivalent.
Het lijkt me overigens dat je heel terecht je leverancier kunt aanspreken dat je een 'defect' certificaat gekregen hebt en recht hebt op een nieuwe. De operationele kosten (admin uren in de nacht) zullen waarschijnlijk niet verhaalbaar zijn.
Nee, klanten moeten in dit soort gevallen niet betalen normaal gesproken, het is de fout de CA.
Ik denk dat je vergeet dat "kosten voor nieuwe certficaten" niet beperkt blijft tot wat de CA daar voor in rekening brengt, maar dat ze ook nog op de juiste manier geinstalleerd moeten worden. En dat wellicht op een "buiten productie uren" tijdstip. Dat kost ook allemaal geld, wellicht zelfs veel meer geld.
En wat denk je van de kosten voor het niet bereikbaar zijn. De 50.000 certificaten worden al over 2 dagen ingetrokken. Ik verwacht niet dat de bedrijven ingericht zijn voor zo'n piek in de vernieuwingen. En ook hier moet goede controle plaats vinden. Een groot deel zal toch even zonder certificaat zitten.
Certificatenhandel is gouden business. Lever rommel en nog extra betaald krijgen ook nog. En dat allemaal omdat PKI zo'n triest brok ellende is.
Mmm mijn Let'sEncrypt certificaten zijn gratis. Dus ik snap de ophef van mensen die klagen over het geld niet zo.
EV = 'groen slotje' (extra goed gecontroleerd) . Dat zijn jouw gratis LE certificaten niet.
Dus ja - bij EV heb je moeten betalen omdat je iets extra's wilde hebben - en kun je terecht boos zijn als je dat nog een keer moet doen . Een gratis LE cert is niet equivalent.
Het lijkt me overigens dat je heel terecht je leverancier kunt aanspreken dat je een 'defect' certificaat gekregen hebt en recht hebt op een nieuwe. De operationele kosten (admin uren in de nacht) zullen waarschijnlijk niet verhaalbaar zijn.
Maar je vergeet dat de hele doelstelling van een dergelijke externe PKI structuur, en meer bepaalde de RA, juist is om te vermijden dat niet iedereen zomaar een HTTPS certificaat kan krijgen.
Het doel van dat certificaat is niet zozeer om communicatie te versleutelen, maar om ervoor te zorgen dat jij zekerheid hebt om met de juiste partij te spreken.
EV certificaten zijn een marketing truuk omdat er juist bleek dat er bijna geen controle gebeurde op wie certificaten aanvroeg en of daar een recht toe was. Het is perfect mogelijk om een publiek certificaat aan te vragen voor een interne domeinnaam, vb: domain.local. Hoe heeft de CA geverifieerd dat ik dat mag?
Ik zou zelfs durven zeggen dat vandaag de gratis LE certificaten meer zekerheid bieden omdat je daar tenminste enig bewijs moet leveren dat je het domein in het certificaat beheert. En je moet dat bewijs elke 3 maanden leveren.
Dat zal wel meevallen. Veel (de meeste ?) systemen zullen het certificaat accepteren als ze geen connectie met de CRL of OCSP server kunnen maken.
In elk geval is de default instelling voor deze controle bij de mac "beste poging" en de meeste mensen zullen dit niet aanpassen. (Sleutelhanger toegang -> Voorkeuren -> Certificaten) Ik heb geen idee hoe dat bij andere systemen zit, maar dat zal vergelijkbaar zijn.
Vergeet daarnaast niet dat OCSP gesponses gecached kunnen worden, zowel door de responder (evt. via CDN) als door de website via OCSP stapling. Zelfs wanneer je OCSP must-staple gebruikt en de downtime beperkt blijft is enkele uren, is nog niets aan de hand.
Certificatenhandel is gouden business. Lever rommel en nog extra betaald krijgen ook nog. En dat allemaal omdat PKI zo'n triest brok ellende is.
Mmm mijn Let'sEncrypt certificaten zijn gratis. Dus ik snap de ophef van mensen die klagen over het geld niet zo.
EV = 'groen slotje' (extra goed gecontroleerd) . Dat zijn jouw gratis LE certificaten niet.
Dus ja - bij EV heb je moeten betalen omdat je iets extra's wilde hebben - en kun je terecht boos zijn als je dat nog een keer moet doen . Een gratis LE cert is niet equivalent.
Het lijkt me overigens dat je heel terecht je leverancier kunt aanspreken dat je een 'defect' certificaat gekregen hebt en recht hebt op een nieuwe. De operationele kosten (admin uren in de nacht) zullen waarschijnlijk niet verhaalbaar zijn.
Maar je vergeet dat de hele doelstelling van een dergelijke externe PKI structuur, en meer bepaalde de RA, juist is om te vermijden dat niet iedereen zomaar een HTTPS certificaat kan krijgen.
Het doel van dat certificaat is niet zozeer om communicatie te versleutelen, maar om ervoor te zorgen dat jij zekerheid hebt om met de juiste partij te spreken.
Ze zijn er voor beiden : zorgen dat je met de bedoelde site praat, en de versleuteling met _die_ site (en niet een mitm) doet .
EV certificaten zijn een marketing truuk omdat er juist bleek dat er bijna geen controle gebeurde op wie certificaten aanvroeg en of daar een recht toe was. Het is perfect mogelijk om een publiek certificaat aan te vragen voor een interne domeinnaam, vb: domain.local. Hoe heeft de CA geverifieerd dat ik dat mag?
Die publieke certificaten worden dus niet (mee) uitgegeven - precies omdat een lokaal domein geen eigenaar heeft.
Gestopt met uitgeven per 2012 , en revoked per 2016 .
Beetje bijblijven ...
Er is wel meer marketing (of 'brand image' ) in de wereld, en 'groen slotje is beter' is erin geramd bij het publiek.
Partijen hebben alle reden om een voorkeur te hebben voor 'groen slotje' - wat het merendeel van je bezoek denkt is veel belangrijker dan wat een heel kleine minderheid van techneuten vindt.
Ik zou zelfs durven zeggen dat vandaag de gratis LE certificaten meer zekerheid bieden omdat je daar tenminste enig bewijs moet leveren dat je het domein in het certificaat beheert. En je moet dat bewijs elke 3 maanden leveren.
Een 'gewoon certificaat gevalideerd via check op technisch beheer van domein zoals LE doet ' is bijna niet te onderscheiden van 'gewoon certificaat gevalideerd met natte vinger'.
EV = 'groen slotje' (extra goed gecontroleerd) . Dat zijn jouw gratis LE certificaten niet.
Dit is ook al best wel achterhaald:
https://www.bleepingcomputer.com/news/software/chrome-and-firefox-changes-spark-the-end-of-ev-certificates/
Daarnaast zie je het in de browser niet meer (tenzij je doorklikt, maar wie doet dat).
EV certs zijn nog wel een goudmijn voor de leveranciers en een statussymbool voor de bezitter.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
