image

Google voorziet Chrome van eigen root store voor tls-certificaten

maandag 19 september 2022, 22:18 door Redactie, 13 reacties

Google gaat in de huidige versie van Chrome een eigen root store voor tls-certificaten lanceren en zal daar zeer binnenkort mee beginnen. De root store bevat de rootcertificaten van vertrouwde certificaatautoriteiten. Chrome zal bij het opzetten van een beveiligde verbinding met een website via de root store controleren of het door de website aangeboden tls-certificaat van een vertrouwde certificaatautoriteit afkomstig is.

Is het certificaat niet afkomstig van een certificaatautoriteit die in de root store is te vinden dan geeft de browser een certificaatwaarschuwing. Op dit moment maakt Chrome gebruik van de root store die door het onderliggende besturingssysteem wordt aangeboden, maar dat gaat nu veranderen. Dat moet zowel ontwikkelaars als gebruikers een consistentere ervaring bieden, aldus Emily Stark van het Chrome Security Team.

Om aan de Chrome Root Store te worden toegevoegd moeten certificaatautoriteiten aan de eisen van het Chrome Root-programma voldoen. De Chrome Root Store zal nu onder een klein aantal gebruikers van Chrome versie 105 op macOS en Windows worden ingeschakeld, waarna andere platforms zullen volgen. Gebruikers van macOS en Windows die niet willen wachten kunnen de root store via deze instructies nu al zelf inschakelen. Google verwacht niet dat de overstap naar de Chrome Root Store voor veel problemen zal zorgen.

Reacties (13)
20-09-2022, 00:03 door Anoniem
Naast eigenaar van de enige browsers straks ook beheerder van de super root. Wat een bijzonder slecht idee.
20-09-2022, 00:20 door Anoniem
Nog een goede reden om met Chrome te stoppen.
20-09-2022, 09:40 door Anoniem
Ha, fijn, elke applicatie haar eigen root store. Wat kan er mis gaan? /ironie

Wat zou het toch mooi zijn als ze daar in het oosten van de VS één root store overeen zouden kunnen komen. Zó moeilijk hoeft dat toch niet te zijn? Nog mooier zou het zijn als dat door de VN beheerd wordt, net als de telefonie, internet en post afspraken.
20-09-2022, 10:03 door Robby Swartenbroekx
Ik kan gerust zeggen anders wat er mis kan gaan: Al die GPO's die nu de interne Root CA verdelen zijn nu dus enkel nog maar goed voor Edge. Veel bedrijven gaan dan beginnen zeggen dat interne applicaties enkel maar met de Edge browser gaan werken en niet meer onder Chrome...
20-09-2022, 10:04 door Anoniem
Mag men zelf nog bepalen welke certificaten daar dan in blijven staan, of worden mensen die deze browser zich hebben laten opdringen dwangmatig met certificaten geconfronteerd die niemand zou moeten vertrouwen? (G ad. netwerken en wat niet)
20-09-2022, 10:22 door Anoniem
Wat een slecht plan! het OMGEKEERDE zou moeten gebeuren (dwz dat Firefox ook van een centrale store gebruik maakt).

Hopelijk gaat Microsoft Edge niet mee met deze vreemde ontwikkeling. Dan zou je ook nog eens het certificaatbeheer
in een bedrijf om moeten gooien.
20-09-2022, 14:38 door Anoniem
Weer een store waar je de helft van de certificaten weg moet halen...
20-09-2022, 21:34 door Anoniem
Door Anoniem: Wat een slecht plan! het OMGEKEERDE zou moeten gebeuren (dwz dat Firefox ook van een centrale store gebruik maakt).
Dat kan al, maar default staat dat uit.
20-09-2022, 21:36 door Anoniem
Door Anoniem: Ha, fijn, elke applicatie haar eigen root store. Wat kan er mis gaan?
Ja, heel fijn.
21-09-2022, 08:03 door Anoniem
Naar aanleiding van dit artikel ben ik eens m'n firefox certificate store doorgegaan. Daar staan wel meer twijfelachtige toko's in, bijvoorbeeld "Ford Motor Company" ... sinds wanneer hebben die een publieke CA?
Tot mijn verbazing zie ik ook twee "Google Internet Authority" certificaten en 4 root certificaten van Google Trust Services.

Hoog tijd om zelf die flinke lijst aan CA's die ik blijkbaar zou moeten vertrouwen eens door te lopen ...
21-09-2022, 10:19 door Anoniem
Gaat dit ook gelden voor client-certificaten? Of moeten die nog steeds in de OS store worden geïmporteerd. Betekent dat bij private (CA) PKI oplossingen dat je dus naar twee stores moet gaan schrijven. Je root en issuing naar Chrome en client-cert in OS.
23-09-2022, 21:33 door Anoniem
De vraag is dan of je de certificaten éénmalig zal moeten installeren of telkens opnieuw bij elke upgrade.
Dan is het onze taak deze buiten alle bedrijven te houden.
05-10-2022, 13:00 door Anoniem
Ik ben even aan het testen geweest, en het lijkt er op dat Chrome beide gaat gebruiken.
Zowel de OS store, als een eigen store voor de CA's.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.