Firefox versleutelt TLS-handshake gebruikers via Encrypted Client Hello
Mozilla is begonnen om Encrypted Client Hello (ECH) onder Firefox-gebruikers uit te rollen, dat de TLS-handshake van gebruikers versleutelt en zo voor een betere privacybescherming moet zorgen. De meeste websites maken tegenwoordig gebruik van een versleutelde verbinding om het verkeer van en naar bezoekers te beveiligen. Er is echter een probleem, en dat is dat het eerste 'hello' bericht of de TLS-handshake onversleuteld plaatsvindt en zo informatie prijsgeeft over bijvoorbeeld de website die wordt bezocht.
ECH zorgt ervoor dat het eerste hello-bericht naar een webserver wordt versleuteld. Dit maakt het volgens Mozilla lastiger voor derde partijen om te identificeren welke websites iemand bezoekt. Om dit te doen maakt ECH gebruik van DNS over HTTPS (DoH), waarbij het de public key ophaalt die voor het versleutelen van het bericht wordt gebruikt en ervoor zorgt dat de webserver de enige is die het bericht kan ontsleutelen. Volgens Mozilla worden gebruikers zo dubbel beschermd. DoH versleutelt de DNS-verzoeken, terwijl ECH de eerste communicatie tussen gebruiker en website beschermt.
Ook Firefox is afhankelijk gemaakt van Big Tech gelden en subsidie.
En heeft zich zoals de rest van de wereldbevolking onder een soort van curatele laten plaatsen.
Uithangbord, meer niet. Falcon browser op Ubuntu is nog wat degelijker in dat opzicht.
Wat kunnen we als burgers daar nu eens aan gaan doen?
Surveillance van iedereen tegenhouden?
Is het nog mogelijk tegenwicht te geven?
Of zijn we met z'n allen al helemaal machteloos gemaakt?
De meeste EU-burgers weten er nog niets eens van of hen interesseert het bovendien geen ene bal.
Bijvoorbeeld jij wilt een WiFi open zetten voor bezoekers of klanten, maar je wilt niet dat men naar een bepaalde site gaat omdat je vindt dat dat teveel bandbreedte kost of omdat je het niet eens bent met de inhoud van die site.
Dat kon je vroeger dan blokkeren door in je router te matchen op die sitenaam in de TLS handshake. Nu kan dat dus niet meer.
(TLS helemaal openbreken kan uiteraard alleen als je een fake root certificaat op de client systemen kunt installeren, wat wel kan in een gemanagede bedrijfsomgeving maar niet op een WiFi gastennetwerk)
Men zegt nu "kijk je privacy is beter beschermd want de eigenaar van het netwerk kan niet meer zien wat jij uitvreet".
Dat zou echter ook negatief kunnen uitpakken, bijvoorbeeld omdat netwerkeigenaren dan maar geen gastgebruik meer toelaten.
Bijvoorbeeld jij wilt een WiFi open zetten voor bezoekers of klanten, maar je wilt niet dat men naar een bepaalde site gaat omdat je vindt dat dat teveel bandbreedte kost of omdat je het niet eens bent met de inhoud van die site.
Dat kon je vroeger dan blokkeren door in je router te matchen op die sitenaam in de TLS handshake. Nu kan dat dus niet meer.
(TLS helemaal openbreken kan uiteraard alleen als je een fake root certificaat op de client systemen kunt installeren, wat wel kan in een gemanagede bedrijfsomgeving maar niet op een WiFi gastennetwerk)
Men zegt nu "kijk je privacy is beter beschermd want de eigenaar van het netwerk kan niet meer zien wat jij uitvreet".
Dat zou echter ook negatief kunnen uitpakken, bijvoorbeeld omdat netwerkeigenaren dan maar geen gastgebruik meer toelaten.
Als je niet wilt dat je gebruikers op je gast netwerk bepaalde sites bezoeken kan je het gewoon nog op IP basis blokkeren.
Gebruik van TLS encrypt alleen de content niet de source en destination adres. Dus je kan altijd nog zien waar je gebruikers naar toe gaan.
Als je niet wilt dat je gebruikers op je gast netwerk bepaalde sites bezoeken kan je het gewoon nog op IP basis blokkeren.
Gebruik van TLS encrypt alleen de content niet de source en destination adres. Dus je kan altijd nog zien waar je gebruikers naar toe gaan.
Bovendien als het CDN services zijn waar ze draaien kan het goed zijn dat er andere sites op dezelfde adressen zitten.
een uitgebreid overzicht van de problematiek tot in details, en over het hoe en waarom van ECH is te vinden in: https://blog.cloudflare.com/encrypted-client-hello/
Daar is dan weer Oblivious DoH (ODoH) voor bedacht.
Nu moet de firewall deze aanvragen allemaal in de afvalbak gooien.
Gebruik van TLS encrypt alleen de content niet de source en destination adres. Dus je kan altijd nog zien waar je gebruikers naar toe gaan.
Een website heeft dan wel een mooie domeinnaam, maar de content vaak niet meer en het is daarom al niet eens meer mogelijk om te blokkeren op DNS/URL, omdat de meeste services achter AWS/Azure/Google zitten met een AWS/Azure/Google naam.
Op IP adres blokkeren is al helemaal onzinnig, want meer dan 3/4de van de populaire sites zit achter IP adressen van Cloudfare of een andere CDN.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
