image

Mozilla: kortere levensduur tls-certificaten beschermt https-verbindingen

vrijdag 10 juli 2020, 11:45 door Redactie, 27 reacties

Mozilla heeft besloten om de levensduur van tls-certificaten te verkorten van 825 naar 398 dagen, wat volgens de Firefox-ontwikkelaar helpt bij het beschermen van https-verbindingen. Websites gebruiken tls-certificaten voor identificatie en het opzetten van een https-verbinding. Op dit moment mogen tls-certificaten voor een periode van maximaal 825 dagen geldig zijn, anders worden ze door browsers geblokkeerd.

Dat is bepaald door het CA/Browser (CA/B) Forum, een consortium van certificaatautoriteiten en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten. Verschillende partijen, waaronder Apple, Cisco, Google, Microsoft, Mozilla en Opera, willen de levensduur naar 398 dagen verkorten. Een eerste voorstel hierover werd niet door het CA/B Forum aangenomen.

Daarop lieten Apple, Google en Mozilla weten dat ze de maatregel eenzijdig gingen doorvoeren. Mozilla heeft nu meer uitleg gegeven waarom het vanaf 1 september het nieuwe beleid invoert. De eerste reden is dat het ervoor moet zorgen dat er sneller op beveiligingsincidenten kan worden gereageerd en veiligere technologie sneller kan worden doorgevoerd.

Een kortere levensduur zorgt ervoor dat certificaten sneller worden vervangen. Als voorbeeld noemt Mozillas Ben Wilson het uitfaseren van certificaten met een MD5-gebaseerde handtekening. Het MD5-algoritme werd uitgefaseerd omdat het niet meer veilig genoeg was. Het uitfaseringsproces duurde vijf jaar, omdat certificaten op dat moment een levensduur van maximaal vijf jaar hadden.

Het uitfaseren van certificaten met SHA-1-gebaseerde handtekeningen nam drie jaar in beslag, omdat de levensduur van tls-certificaten op dat moment al naar drie jaar was teruggebracht. "Zwaktes in hashing-algoritmes kunnen tot situaties leiden waarbij aanvallers certificaten kunnen vervalsen, dus gebruikers liepen jaren risico nadat collision-aanvallen tegen deze algoritmes haalbaar bleken te zijn", merkt Wilson op.

Een tweede reden is dat de privésleutels van tls-certificaten die langer dan een jaar geldig zijn meer kans lopen om te worden gecompromitteerd. Een aanvaller die een privésleutel weet te compromitteren kan https-verkeer onderscheppen of websites imiteren totdat het tls-certificaat verloopt. Wilson stelt dat het een goede "security practice" is om sleutelparen geregeld te vervangen, wat gebeurt bij het aanvragen van een nieuwe certificaat. Wanneer certificaten een jaar geldig zijn zullen dus ook vaker de sleutels worden vervangen.

De derde en laatste reden die Wilson geeft is dat domeinen van eigenaar kunnen verwisselen. Wanneer de vorige eigenaar voor het domein een tls-certificaat had aangevraagd kan hij zich als de website blijven voordoen totdat het certificaat verloopt.

Voorstel

Er is nu een tweede voorstel bij het CA/B Forum ingediend om de levensduur van tls-certificaten naar 398 dagen te verkorten. Volgens Mozilla zijn er twee uitkomsten. Of het voorstel wordt geaccepteerd en zal dan automatisch gelden voor de Root Store Policy van Mozilla. De policy omschrijft hoe Mozilla met certificaten en certificaatautoriteiten omgaat.

Wanneer het voorstel weer wordt afgewezen zal Mozilla de Root Store Policy via het gebruikelijke wijzigingsproces gaan doorvoeren, waarbij er via een mailinglist eerst een discussie over de voorgestelde wijziging plaatsvindt. Uit onderzoek van Mozilla blijkt dat alle certificaatautoriteiten die aan Mozillas root-programma deelnemen van plan zijn om vanaf 1 september alleen nog certificaten uit te gaan geven die maximaal 398 dagen geldig zijn.

Reacties (27)
10-07-2020, 12:09 door Anoniem
Het blijft natte vingerwerk. En het is vooral leuk voor certificaatverkopers.
10-07-2020, 12:22 door [Account Verwijderd] - Bijgewerkt: 10-07-2020, 12:25
Door Anoniem: Het blijft natte vingerwerk. En het is vooral leuk voor certificaatverkopers.
Leuk? Alle certificaatverkopers stemden hier juist tegen (m.u.v Let's Encrypt). Het Apple was die de kortere levensduur juist doordrukte, waarna Google en Mozilla besloten mee te doen omdat het anders toch niet te houden is.
10-07-2020, 12:38 door Anoniem
Dit spekt vooral de kas van partijen in het PKI-certificaatecosysteem.

Daarom DANE voor web! Meer weten? https://cs.gmu.edu/~eoster/doc/2015-08-US-Telecom-DANE.pdf
10-07-2020, 12:58 door Anoniem
Enigszins veiliger https verbindingen liggen ook nog wel ergens anders van af. Zie de https only encyclopedie.

Zo als hierboven dus kun je e.e.a. niet stellen. Kijk eens op een willekeurige pagina met de page, header & cookie analyser extensie van REcx om te zien wat er per website nog aan schort. Dan nog even de kwetsbaarheden op de webserver nalopen (shodan, vulners, BuiltWith) of een Tracker SSL overzicht en je ziet al dat de verantwoording van deze maatregel op zeer dun ijs stoelt. SSL Grade en CSP evalueren, het gebeurt maar mondjesmaat of helemaal niet.

We zijn nog niet eens begonnen om de infrastructuur op client en server maar slechts iets te verbeteren.
Gerijpte gatenkaas is het en niets anders en wie het tegendeel wil beweren, moet zijn huiswerk maar eens over doen.

luntrus
10-07-2020, 13:02 door Anoniem
Ik zit er nu al tegen aan te hikken dat het regelmatig voorkomt dat Firefox (Mozilla) een certificaatwaarschuwing geeft,
terwijl er niets ernstigs gebeurt als ik doorga.
Meestal staat de certificaatuitgever niet in de browserlijst van certificaatuitgevers (vaak iets van Sectigo of Comodo)
Dus ik denk er op het laatst niet meer bij na, en ga gewoon door, vooral als ik haast heb.

Conclusie:
teveel "false negatives" (certificaatwaarschuwingen die theoretisch misschien wel kloppen,
maar wat in de praktijk bijna nooit kwalijke gevolgen heeft) werkt averechts!!!

omdat je zo'n waarschuwing steeds meer gaat negeren, en je je er als gebruiker bovendien steeds meer aan gaat ergeren.

Het mag dan zo zijn dat je met een certificaat meer risico loopt naar mate het ouder is,
maar ik denk dat het risico van "false negatives" dat ze met dit plan introduceren vele malen groter is.
10-07-2020, 13:17 door Anoniem
@ gewaardeerde reactant van 12:35
Is te checken via de DANE SMTP Validator:

Zie voorbeeld hier: https://dane.sys4.de/smtp/security.nl

#sockpuppet
10-07-2020, 13:24 door Anoniem
Door Anoniem: Conclusie:
teveel "false negatives" (certificaatwaarschuwingen die theoretisch misschien wel kloppen,
maar wat in de praktijk bijna nooit kwalijke gevolgen heeft) werkt averechts!!!

omdat je zo'n waarschuwing steeds meer gaat negeren, en je je er als gebruiker bovendien steeds meer aan gaat ergeren
Tegen mensen die zo achteloos om gaan met hun beveiliging, is overigens ook goed te beschermen. Dat kan door HSTS te gebruiken, dan kán je de waarschuwing namelijk niet meer weg klikken.
10-07-2020, 13:41 door Anoniem
Dit is net zo iets als stellen dat er een correlatie is tussen de veiligheid van een wachtwoord en de hoe vaak je die vervangt.
Sommige ideeën sterven maar langzaam uit.

Als je gewoon een goed certificaat aanmaakt, kan die cryptografisch jaren mee. Als een algorithme van zo'n certificaat niet meer veilig is, zijn we allemaal de klos en moet alles vervangen worden.
10-07-2020, 14:03 door Anoniem
Door Anoniem: Dit is net zo iets als stellen dat er een correlatie is tussen de veiligheid van een wachtwoord en de hoe vaak je die vervangt.
Sommige ideeën sterven maar langzaam uit.

Als je gewoon een goed certificaat aanmaakt, kan die cryptografisch jaren mee. Als een algorithme van zo'n certificaat niet meer veilig is, zijn we allemaal de klos en moet alles vervangen worden.

Een cryptografisch probleem is inderdaad niet waarschijnlijk - en die wachtwoord cycling is ook dubieus .

Wat ik wel moet toegeven - er is een kans op foutjes - en als je iets lang gebruikt neemt de kans toe dat die fout gemaakt wordt in de levensduur van hetgeen je doet .
De gevolgen van de fout , bij het lekken van een credential , kunnen optreden voor zolang die credential nog geldig is. Zeker als de lekkage ongemerkt is .

Dat is een valide argument.
10-07-2020, 14:17 door Anoniem
Door Anoniem:
Door Anoniem: Conclusie:
teveel "false negatives" (certificaatwaarschuwingen die theoretisch misschien wel kloppen,
maar wat in de praktijk bijna nooit kwalijke gevolgen heeft) werkt averechts!!!

omdat je zo'n waarschuwing steeds meer gaat negeren, en je je er als gebruiker bovendien steeds meer aan gaat ergeren
Tegen mensen die zo achteloos om gaan met hun beveiliging, is overigens ook goed te beschermen. Dat kan door HSTS te gebruiken, dan kán je de waarschuwing namelijk niet meer weg klikken.
Je gaat toch zeker niet denken dat de eigenaar van een webshop dit zou doen he.
Dan boycot hij immers zijn eigen handel helemaal want dan kan niemand er meer bij en verkoopt ie helemaal niks.

Die zaak zal wel een tijdlang hebben vertikt om het certificaat te vervangen. Zou ik ook doen als ik voor 3 of 5 jaar heb betaald en opeens krijgt iemand bij Mozilla het in zijn bolle hoofd dat de naam van de issuer niet langer bestaat vanwege een naamsverandering van de issuer o.i.d., zodat plotseling de nieuwste versie van hun browser de oude issuer naam niet meer herkend en een waarschuwing geeft.
10-07-2020, 14:55 door Anoniem
Door Anoniem: Als je gewoon een goed certificaat aanmaakt, kan die cryptografisch jaren mee. Als een algorithme van zo'n certificaat niet meer veilig is, zijn we allemaal de klos en moet alles vervangen worden.
Een van de punten die gemaakt wordt is dat de maximale geldigheidsduur van een certificaat in de praktijk ook de tijd is die het kost om iedereen die certificaten ook werkelijk te laten vervangen in zo'n situatie. MD5 uitfaseren kostte 5 jaar omdat certificaten toen maximaal 5 jaar geldig waren. Uitfaseren van SHA1 kostte 3 jaar omdat certificaten toen maximaal 3 jaar geldig waren. Heel veel mensen, bedrijven en andere organisaties doen lang niet altijd wat ze eigenlijk zouden moeten doen.

Een kortere maximale geldigheidsduur voor een certificaat vertaalt zich dus rechtstreeks in een kortere periode waarin algoritmes kunnen worden uitgefaseerd. Ik vind dat wel een serieus te nemen argument.
10-07-2020, 15:26 door Anoniem
Door Anoniem:
Door Anoniem: Tegen mensen die zo achteloos om gaan met hun beveiliging, is overigens ook goed te beschermen. Dat kan door HSTS te gebruiken, dan kán je de waarschuwing namelijk niet meer weg klikken.
Je gaat toch zeker niet denken dat de eigenaar van een webshop dit zou doen he.
Dan boycot hij immers zijn eigen handel helemaal want dan kan niemand er meer bij en verkoopt ie helemaal niks.
Je gebruikt HSTS (vanzelfsprekend) alleen in combinatie met een publiek erkend certificaat. Dus in vrijwel alle gevallen zal een website (gewoon) werken. Alleen in de situatie dat iemand zijn verkeer onderschept en aangepast wordt (Man-in-the-Middle), dan zal het niet meer mogelijk zijn om deze waarschuwing weg te klikken. Daarmee beschermt een website eigenaar zich tegen bezoekers die waarschuwingen altijd negeren. De (terechte) waarschuwing op hun website zal dan niet meer weg te klikken zijn.
10-07-2020, 16:23 door Anoniem
Door Anoniem:
Door Anoniem: Als je gewoon een goed certificaat aanmaakt, kan die cryptografisch jaren mee. Als een algorithme van zo'n certificaat niet meer veilig is, zijn we allemaal de klos en moet alles vervangen worden.
Een van de punten die gemaakt wordt is dat de maximale geldigheidsduur van een certificaat in de praktijk ook de tijd is die het kost om iedereen die certificaten ook werkelijk te laten vervangen in zo'n situatie. MD5 uitfaseren kostte 5 jaar omdat certificaten toen maximaal 5 jaar geldig waren. Uitfaseren van SHA1 kostte 3 jaar omdat certificaten toen maximaal 3 jaar geldig waren. Heel veel mensen, bedrijven en andere organisaties doen lang niet altijd wat ze eigenlijk zouden moeten doen.

Een kortere maximale geldigheidsduur voor een certificaat vertaalt zich dus rechtstreeks in een kortere periode waarin algoritmes kunnen worden uitgefaseerd. Ik vind dat wel een serieus te nemen argument.

Mozilla trekt certificaten in om de meest futiele redenen.
Dan kunnen ze ook certificaten blokkeren in hun browser omdat de algorithmes wiskundig gekraakt zijn. Of tenminste een paginagrote waarschuwingsmelding op zo'n website geven dat het niet verstandig is verder te browsen op die website.
10-07-2020, 17:23 door Anoniem
zogenaamd een forum oprichten en als het ze niet uitkomt, dan maar forceren. En als je een Europees tegen initiatief wilt lanceren, krijg je het niet gefund, omdat de investerings gieren hier 10x 15x rendament willen hebben.
11-07-2020, 01:14 door Anoniem
Deze hele beweging is al ingezet met het Let's Encrypt initiatief gecombineerd met https-everywhere toen later Symantec als certificaatboer het bijltje erbij neer gooide. Daar is dit ook een nasleep van, een certificeringsomwenteling.

Het is gewoon een link bedachte vermarketingsstrategie en moet geld in het laatje brengen.

De veiligheidsimplicaties ervan daar kun je vragen bij stellen. Het doel heiligt weer eens de middelen.
De praktijk is weer hardnekkiger en barser gebleken dan de theoretische luchtfietserij, die eromheen hangt.

Hebt u met zijn allen nog niet door dat u op een ongelofelijke manier steeds weer in de boot dreigt te worden genomen.
Die erom vragen, verdienen dit dan ook. Die u dit verkopen lachen zich namelijk een aap.

#sockpuppet
11-07-2020, 06:56 door [Account Verwijderd]
Door Anoniem:Mozilla trekt certificaten in om de meest futiele redenen.
Dan kunnen ze ook certificaten blokkeren in hun browser omdat de algorithmes wiskundig gekraakt zijn. Of tenminste een paginagrote waarschuwingsmelding op zo'n website geven dat het niet verstandig is verder te browsen op die website.
Mozilla trekt zelf geen certificaten in, dat kan alleen de CA die ze uitgegeven heeft. Mozilla maakt - net als alle andere root stores - duidelijk dat als een CA zijn certificaten niet intrekt terwijl dat wel zou moeten volgens de regels, deze het risico loopt verwijderd te worden uit de root store. Het staat een CA volledig vrij om de regels omtrent intrekking naast zich neer te leggen, zoals bijvoorbeeld binnen het PKIOverheid stelsel regelmatig gebeurt. Het risico is echter dat men dan het vertrouwen kan verliezen en de CA uit de root store haalt.
11-07-2020, 10:50 door Anoniem
Door iatomory: Mozilla trekt zelf geen certificaten in, dat kan alleen de CA die ze uitgegeven heeft. Mozilla maakt - net als alle andere root stores - duidelijk dat als een CA zijn certificaten niet intrekt terwijl dat wel zou moeten volgens de regels, deze het risico loopt verwijderd te worden uit de root store. Het staat een CA volledig vrij om de regels omtrent intrekking naast zich neer te leggen, zoals bijvoorbeeld binnen het PKIOverheid stelsel regelmatig gebeurt. Het risico is echter dat men dan het vertrouwen kan verliezen en de CA uit de root store haalt.
Het maakt niet uit op wiens naam het wapen geregistreerd staat. Wat uit maakt is wie de trekker overhaalt. En dat is zoals je zelf ook omschrijft Mozilla.

De volgende keer zal ik het echter wat duidelijker proberen te omschrijven.

Anoniem 16:23
11-07-2020, 14:32 door Anoniem
Door Anoniem: Dit spekt vooral de kas van partijen in het PKI-certificaatecosysteem.
Valt wel mee, certificaten voor meerdere jaren waren sowieso al evenredig duurder.

Nadeel en voordeel is dat beheerders nu meer ervaring in het vervangen van certificaten krijgen. Minder kans op vergeten te verlengen, want 1 jaar voortuit plannen is makkelijker dan 3.

De kans dat het nu geautomatiseerd wordt, is ook groter, want het bespaart meer tijd.
11-07-2020, 14:43 door Anoniem
Door Anoniem: Dit is net zo iets als stellen dat er een correlatie is tussen de veiligheid van een wachtwoord en de hoe vaak je die vervangt..
Het gaat er hier meer om dat het proces voor intrekken van een certificaat (het ongeldig verklaren) niet werkt, vooral omdat het niet gecontrolleerrd wordt. Daarnaast is die check te onderscheppen. Een kortere levensduur maakt het venster voor mogelijk misbruik kleiner.

Een uitgelekt wachtwoord kan je gewoon wijzigen, en dan werkt het niket meer. Een uitgelekt certificaat kan je (meestal) intrekken, komt dan wel op een lijst, die je zou moeten checken, maar blijft wel gewoon werken.
11-07-2020, 23:16 door Anoniem
Nog een voordeel is dat er routine blijft in het verversen van beveiligingscertificaten.
12-07-2020, 09:28 door [Account Verwijderd]
Door Anoniem:
Door Anoniem: Dit is net zo iets als stellen dat er een correlatie is tussen de veiligheid van een wachtwoord en de hoe vaak je die vervangt..
Het gaat er hier meer om dat het proces voor intrekken van een certificaat (het ongeldig verklaren) niet werkt, vooral omdat het niet gecontrolleerrd wordt. Daarnaast is die check te onderscheppen. Een kortere levensduur maakt het venster voor mogelijk misbruik kleiner.
'Niet werkt' zou ik het zelf niet omschrijven. Het zijn vooral performance en in mindere mate privacy overwegingen waarom revocation checking achterwege gelaten wordt. Bij het gebruik van OCSP stapling zijn die bezwaren weg genomen en is de check ook niet meer te onderscheppen. OCSP stapling zelf is af te dwingen als je het juiste certificaat aanvraagt. Als website eigenaar kan je jezelf dus prima beschermen tegen gebruikers die dergelijke mechanismen uitschakelen, mits de browser stapling en must-staple ondersteunt.

Dat revocatie binnen het WebPKI een shitshow is, maakt het nog geen goed argument om de leeftijd van certificaten te beperken. Tenzij je naar certificaten met een levensduur van enkele dagen toe wilt.
12-07-2020, 09:59 door Anoniem
Door Anoniem:
Door Anoniem: Conclusie:
teveel "false negatives" (certificaatwaarschuwingen die theoretisch misschien wel kloppen,
maar wat in de praktijk bijna nooit kwalijke gevolgen heeft) werkt averechts!!!

omdat je zo'n waarschuwing steeds meer gaat negeren, en je je er als gebruiker bovendien steeds meer aan gaat ergeren
Tegen mensen die zo achteloos om gaan met hun beveiliging, is overigens ook goed te beschermen. Dat kan door HSTS te gebruiken, dan kán je de waarschuwing namelijk niet meer weg klikken.

...En wat met dit dan?... https://my.vodafone.nl/My_Vodafone Dat is de inlogpagina van Vodafone/Ziggo die je voorgeschoteld krijgt (niet dus) met Firefox.

Zou het daar (Ziggo/Vodafone) nu werkelijk helemaal zo totaal mis zijn?
Moet ik die maar wegklikken?

Dit krijg je dus voor je neus met Firefox: SEC_ERROR_UNKNOWN_ISSUER.
Hoezo unknown Issuer?
Volgens de certificaatgegevens die Firefox zelf ophoest! staat er duidelijk:
Naam uitgever: QuoVadis Limited, QuoVadis Global SSL ICA G3

Kortom: De waarschuwing spreekt zichzelf tegen!

Door dit soort gemuggezift gebruik ik steeds vaker Chromium.
12-07-2020, 17:01 door [Account Verwijderd]
Door Anoniem: ...En wat met dit dan?... https://my.vodafone.nl/My_Vodafone Dat is de inlogpagina van Vodafone/Ziggo die je voorgeschoteld krijgt (niet dus) met Firefox.
Dat is een interessant geval! In Firefox krijg ik inderdaad een foutmelding, echter niet dat de issuer onbekend is maar dat het certificaat niet klopt. Het certificaat dat ik te zien krijg (https://crt.sh/?id=1399501762) is namelijk helemaal niet geldig voor "my.vodafone.nl", maar alleen voor "www.vodafone.nl" en "vodafone.nl". Het (verkeerde) certificaat dat ik krijg is ook niet afkomstig van QuoVadis maar van DigiCert. Ook als ik de site test met SSLLabs dat krijg ik de melding dat het certificaat niet klopt met de opgevraagde website (https://www.ssllabs.com/ssltest/analyze.html?d=my.vodafone.nl).

Mogelijk dat wij allebei een verschillende versie van de website te zien krijgen, dan wordt het was lastig om uit te zoeken wat het probleem precies is.
12-07-2020, 17:01 door Anoniem
Door Anoniem: Dit krijg je dus voor je neus met Firefox: SEC_ERROR_UNKNOWN_ISSUER.
Hoezo unknown Issuer?
Volgens de certificaatgegevens die Firefox zelf ophoest! staat er duidelijk:
Naam uitgever: QuoVadis Limited, QuoVadis Global SSL ICA G3

Kortom: De waarschuwing spreekt zichzelf tegen!

Door dit soort gemuggezift gebruik ik steeds vaker Chromium.
Ik krijg in Firefox een andere melding:
Websites bewijzen hun identiteit via certificaten. Firefox vertrouwt deze website niet, omdat een certificaat wordt gebruikt dat niet geldig is voor my.vodafone.nl. Het certificaat is alleen geldig voor de volgende namen: www.vodafone.nl, vodafone.nl

Foutcode: SSL_ERROR_BAD_CERT_DOMAIN
Het certificaat dat ik krijg heeft een andere uitgever: DigiCert ECC Extended Validation Server CA

Chromium geeft me (in iets andere bewoordingen) dezelfde fout.

Als jij QuoVadis als issuer zag en als die, ondanks dat een QuoVadis-certificaat met de naam die jij noemt in Firefox is ingebouwd, niet herkend werd, dan vraag ik me af of jij geen nagemaakt QuoVadis-certificaat voor je kiezen hebt gehad. Dan spreekt de waarschuwing die je zag zichzelf niet tegen, dan is het inderdaad een onbekende issuer, al heeft die een bekende naam gebruikt. Het lijkt wel of je boos bent op Firefox omdat die een MITM-aanval voor je heeft afgevangen, of iets dat daar voor een webbrowser niet van te onderscheiden is.
12-07-2020, 18:28 door Anoniem
Door iatomory:
Door Anoniem: ...En wat met dit dan?... https://my.vodafone.nl/My_Vodafone Dat is de inlogpagina van Vodafone/Ziggo die je voorgeschoteld krijgt (niet dus) met Firefox.
Dat is een interessant geval! In Firefox krijg ik inderdaad een foutmelding, echter niet dat de issuer onbekend is maar dat het certificaat niet klopt. Het certificaat dat ik te zien krijg (https://crt.sh/?id=1399501762) is namelijk helemaal niet geldig voor "my.vodafone.nl", maar alleen voor "www.vodafone.nl" en "vodafone.nl". Het (verkeerde) certificaat dat ik krijg is ook niet afkomstig van QuoVadis maar van DigiCert. Ook als ik de site test met SSLLabs dat krijg ik de melding dat het certificaat niet klopt met de opgevraagde website (https://www.ssllabs.com/ssltest/analyze.html?d=my.vodafone.nl).

Mogelijk dat wij allebei een verschillende versie van de website te zien krijgen, dan wordt het was lastig om uit te zoeken wat het probleem precies is.

@iatomory,

Fijn dat je reageert!
Ik ben maar een doorgewinterde computergebruiker, dus diepgravend IT gerelateerd kan ik er niet veel mee maar ik ben eens verder gaan zoeken en ben nu uitgekomen op deze inlogpagina:
https://www.vodafone.nl/account/inloggen?login=ziggo-selfcare en concludeer dat Ziggo en Vodafone elkaar in de mixer hebben gegooid. Dat wist ik wel maar dat dit zulke voor mij nochthans onbegrijpelijke web-toestanden veroorzaakt... En ja via bovenstaande pagina krijg ik inderdaad dezelfde Certificaat informatie als jij.

Feitelijk vind ik dat een browser geen onrust (falls positves?) moet zaaien. Het world wide web is al gecompliceerd genoeg voor de doorsnee gebruiker. Ik denk dan:
Nog zo iets: Dat groene slotje moest m.i.v. FF-70 al zo nodig weg, terwijl dat nu juist zo aardig aangaf of je verbinding veilig zat en daarvoor komt in de plaats?... deze uitvoerige pagina grote toestand met gele randen en allerhande knoppen en waarschuwingen waar de gemiddelde computergebruiker (w.o. ik) door in verwarring komt.
Dan denk ik mistroostig: Is het internet straks alleen nog toegankelijk voor mensen met een IT certificaat en dito opleiding? Mag het een pondje minder zijn, mogen wij nog meedoen?
12-07-2020, 22:02 door [Account Verwijderd] - Bijgewerkt: 12-07-2020, 22:07
Door Anoniem: [...] concludeer dat Ziggo en Vodafone elkaar in de mixer hebben gegooid. Dat wist ik wel maar dat dit zulke voor mij nochthans onbegrijpelijke web-toestanden veroorzaakt... En ja via bovenstaande pagina krijg ik inderdaad dezelfde Certificaat informatie als jij.
Tja, het lijkt er dan inderdaad op dat het vooral Vodafone en Ziggo zijn die het hier lastig maken. Tegelijk laat dat wel weer zien dat die waarschuwing toch terecht was, al leek dat op het eerste gezicht niet zo te zijn. Die waarschuwing is ook nergens voor nodig overigens. Vodafone kan zonder problemen een geldig certificaat aanvragen voor my.vodafone.nl en er een normale verwijzing van maken.

Nog zo iets: Dat groene slotje moest m.i.v. FF-70 al zo nodig weg, terwijl dat nu juist zo aardig aangaf of je verbinding veilig zat en daarvoor komt in de plaats?... deze uitvoerige pagina grote toestand met gele randen en allerhande knoppen en waarschuwingen waar de gemiddelde computergebruiker (w.o. ik) door in verwarring komt.
Dan denk ik mistroostig: Is het internet straks alleen nog toegankelijk voor mensen met een IT certificaat en dito opleiding? Mag het een pondje minder zijn, mogen wij nog meedoen?
Volgens mij ontstaat de verwarring doordat jij als een van de weinige internetgebruikers wel lette op het slotje. Laat me dat uitleggen.

Het groene slotje werd sinds jaar en dag gebruikt voor het aangeven dat je een beveiligde verbinding met een geauthenticeerde website had. Onderzoek [0] gaf echter aan dat niemand echt snapte wat het slotje nu eigenlijk precies betekende. Een tweede veel gehoord argument is dat je als gebruiker continue moet opletten dat het slotje aanwezig is (een positive indicator) terwijl het veel makkelijker is om af en toe op te merken dat iets niet veilig is (een negative indicator). Vanaf ~2017 is de trend ingezet om HTTP websites duidelijker aan te geven als 'not secure' met een rood of gebroken slotje, terwijl veilige HTTPS websites van groen naar grijs of een andere minder opvallende kleur zijn gezet. Aanvullend zijn de waarschuwingspagina's ook aangepast om duidelijker te maken dat er een probleem is (gele randen) wat het probleem is en eventuele oplossingen (tijd goed zetten bijvoorbeeld), en dat het niet de bedoeling is dat je hier zomaar doorheen klikt. Waar je vroeger met 1 klik door te melding heen was, moet je bij Firefox nu bijvoorbeeld eerst klikken op 'geadvanceerd' voor je de optie krijgt om de melding te skippen. Over niet al te lange tijd zal je deze waarschuwingen ook gaan krijgen op normale HTTP websites, waarmee je effectief altijd een waarschuwing krijgt wanneer je verbinding niet 'veilig' is. Daarmee is eigenlijk het beleid compleet waarbij HTTPS als het nieuwe normaal gezien wordt en je in alle andere situaties een waarschuwing krijgt.

Kortom: het doel was dus om de security indicator om te draaien van iets wat aanwezig is als het wel veilig is (groen slotje) naar iets wat aanwezig is als het niet veilig is (waarschuwingen). Maar als je hiervoor dus op het slotje lette en deze discussie niet mee hebt gekregen, dan kan ik goed begrijpen dat het nu allemaal anders lijkt (wat klopt!). In het vervolg hoef je dus niet meer op het slotje te letten, als er iets mis is dan komt er wel een waarschuwing voor (vaker, maar hopelijker duidelijker dan vroeger het geval was). Veranderingen in Chrome staan overigens hier nog beschreven, ook met afbeeldingen hoe de indicatoren over de tijd heen zijn veranderd om het verschil duidelijk te maken: https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure

[0] https://www.usenix.org/system/files/conference/soups2016/soups2016-paper-porter-felt.pdf
12-07-2020, 23:18 door Anoniem
Maar hoe kan je nu direct zien of dat je op een website van een sedoparking domein bent beland?
Het kan via browser alerts, als zaken bekend zijn natuurlijk toch wel wat directer duidelijk gemaakt waar niet op te klikken.

Het gaat erom dat men weg blijft van spam, scam, mining, crapware & als men dat wenst ook van ads en smut.
De John Doe eindgebruiker kan meestal niets met "untrusted" & "expired" of "self-signed"," F-grade" of "T-grade" enz.
Het moet toch gaan om de eindgebruiker veilig(er) te houden of is dat eigenlijk niet zo zeer het geval?

#sockpuppet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.