Google zegt vertrouwen op in certificaten van certificaatautoriteit Entrust
Google heeft het vertrouwen opgezegd in certificaten van certificaatautoriteit Entrust en zal die later dit jaar in Chrome gaan blokkeren, wat grote gevolgen kan hebben voor websites die van deze certificaten gebruikmaken. Aanleiding om het vertrouwen in de certificaatautoriteit op te zeggen is een 'jarenlang patroon' van het niet voldoen aan eisen, het niet nakomen van toezeggingen om zaken te verbeteren en het ontbreken van meetbare voortgang in reacties op gemelde incidenten.
Certificaatautoriteiten geven tls-certificaten uit die voor versleutelde verbindingen en identificatie van websites worden gebruikt. Fouten door deze partijen kunnen dan ook grote gevolgen hebben. Vanwege de belangrijke rol die certificaatautoriteiten spelen moeten die aan allerlei regels voldoen, zoals opgesteld in de CA/Browser TLS Baseline Requirements. Aangezien Entrust deze regels niet nakomt en vanwege het risico dat elk publiek vertrouwde certificaatautoriteit voor het internet-ecosysteem vormt, is het blijven vertrouwen van Entrust niet langer gerechtvaardigd, aldus Google.
Gebruikers van Google Chrome zullen als gevolg van dit opgezegde vertrouwen een certificaatwaarschuwing zien bij het bezoeken van websites die van Entrust-certificaten gebruikmaken. Mozilla laat weten dat het onverantwoord is om Entrust-certificaten te blijven vertrouwen zonder concreet bewijs dat er verbeteringen zijn doorgevoerd, maar acties met betrekking tot Firefox zijn nog niet bekend.
Los daarvan is Google de grootste slager die zijn eigen vlees keurt - en daar bovenop anderen diens wil oplegt. Dit hele systeem, gebaseerd op het verdienmodel van VS-big-tech, is zo rot als een mispel.
Ik zie alleen een wit scherm omdat je naar een site verwijst die de pagina opbouwt via alias dia naar een tracking domein verwijst, die mijn dns filter blokkeert: "b-cdn.net"
Dat is losgezongen van de werkelijke situatie. Ik ben het eens met Erik van Straten dat Google actie moet ondernemen, dat certicaat moet worden ingetrokken. Het is niet verstrekt aan een betrouwbare partij.
Het andere punt dat Erik aanhaalt, de machtspositie, is ook een geldig bezwaar. Browser producenten zouden niet ook tegelijk CA's moeten zijn. Je kan niet je eigen vlees keuren.
Los daarvan is Google de grootste slager die zijn eigen vlees keurt - en daar bovenop anderen diens wil oplegt. Dit hele systeem, gebaseerd op het verdienmodel van VS-big-tech, is zo rot als een mispel.
Wie is het slachtoffer, het produkt, u en ik dus, zoals steevast.
Elke aanvaller met toegang tot de, op te zetten, verbinding tussen jouw browser en de bedoelde server, óf die jou een vervalst DNS-antwoord kan sturen, kan een self-signed certificaat voor de domeinnaam van de door jou geopende website genereren (er bestaat zelfs software en er worden legitieme apparaten gebruikt die, on-the-fly, certificaten klonen, echter voorzien van een andere public key en andere digitale handtekening). En op deze manier jouw browser op een inhoudelijk identieke nepwebsite met dezelfde domeinnaam laten uitkomen. Gelukkig waarschuwen browsers indien een self-signed certificaat wordt gebruikt, of als zo'n AitM-apparaat niet expliciet wordt vertrouwd (door een rootcertificaat te importeren).
Zoals ik eerder schreef: je hebt geen certificaat nodig voor een versleutelde (https of whatever) verbinding. Bij TLSv1.3 wordt het certificaat zelfs pas verzonden (door de server) nádat de versleuteling van de verbinding tot stand is gekomen.
Al vele jaren (sinds forward secrecy) is authenticatie van de server het énige doel van een https servercertificaat. Wat voor zin heeft het als letterlijk iedereen, inclusief cybercriminelen zelf, certificaten zou kunnen maken die door alle browsers worden vertrouwd?
Net zoals Amsterdam 50km/u te hard vindt terwijl jij, v.w.b. https certificaten, geheel geen "snelheidsbeperking" lijkt te willen, vind ik dat bij het gebruik van DV certificaten, het oplossen van het belangrijkste probleem (van wie is die domeinnaam) naar gebruikers is verplaatst. Terwijl tegelijkertijd browsers, willens en wetens, het verschil tussen niets aan de domeinnaam toevoegende en, voor gebruikers, zinvollere informatie zijn gaan verhullen of ontoegankelijk hebben gemaakt.
In https://infosec.exchange/@ErikvanStraten/112688092149571552 leg ik het e.e.a. m.i. haarfijn uit (Engelstalig).
Ik zie alleen een wit scherm omdat je naar een site verwijst die de pagina opbouwt via alias dia naar een tracking domein verwijst, die mijn dns filter blokkeert: "b-cdn.net"
*.b-cdn[.]net is inderdaad voornamelijk foute boel, maar zelf heb ik nooit gemerkt dat de Mastodon instance https://infosec.exchange ook maar iets met de CDN-provider "bunny[.]net" te maken had.
Helaas gebruikt Infosec.exchange Fastly als CDN, en ook Fastly is geen frisse partij - want steeds vaker gedogen ook "gerenommeerde" CDN's dat scamsites zich achter hun (van die CDN's) IP-adressen verstoppen. Als je die IP-adressen blokkeert kun je op veel sites problemen krijgen.
Zo te zien is infosec.exchange in Nederland te bereiken via de volgende IP-adressen:
151.101.67.52
151.101.131.52
151.101.195.52
2A04:4E42::820
2A04:4E42:200::820
2A04:4E42:400::820
2A04:4E42:600::820
Totaal los hiervan, maar in China via andere IP-adressen, waaronder:
2A03:2880:F12C:83:FACE:B00C:0:25DE
Ik weet niet hoe jouw filter werkt, maar denkbaar is dat 1 van de meer dan 4000 *.b-cdn[.]net subdomeinnamen via één van de genoemde Fastly IP-adressen bereikbaar is of was, en jouw filter daarom aanslaat op dat IP-adres.
Zo zit uptodown.com, een voornamelijk Spaanstalige downloadsite met dubieuze reputatie, "achter" Fastly. In https://www.virustotal.com/gui/ip-address/151.101.3.52/relations was gisteravond te zien dat VT gisteren honderden subdomeinen van uptodown.com heeft gescand, enkele voorbeelden (allen met score 0/93):
microsoft-office-2013.th.uptodown.com
passport-photo-maker.uptodown.com
Ook Hornbach maakt (deels) gebruik van Fastly: als ik https://int-svc.hornbach.nl/ open, zie ik, van boven naar beneden, het Hornbach logo, "Oops!" en een plaatje van een gereedschapskist. Wat zie jij?
Rest risico's zoals,
Gedogen dat (belangrijke) mensen bepalen wat ze wel/niet kunnen/mogen.
Niet luisteren naar de (werkvloer) mensen bij het doorvoeren van beleid.
De waanzin van comply or explain.
De wereld afbakenen rond om de gevestigde CA's.
Luisteren naar papieren CISO's, CISM's, CISA's, CRISC's (die geen f**k van de werkelijkheid weten).
Risicoreductie bestaat niet, hackers (gegeneraliseerd in deze context) zijn net muizen die door het allerkleinste gaatje naar binnen komen.
aiiaclient.com
aiia-eu.aiiaclient.com
home-saxo.aiiaclient.com
paytrail-com.aiiaclient.com
bunq-com.aiiaclient.com
Hoe overduidelijk phishing wil je het hebben?
Echter, voor bunq-com.aiiaclient.com is - op 17 april j.l. - een QWAC afgegeven door "QuoVadis Trustlink B.V.", uit https://crt.sh/?id=12752024628&opt=ocsp:
• commonName = bunq-com.aiiaclient.com
• organizationName = bunq B.V.
• organizationIdentifier = PSDNL-DNB-R127999
• localityName = Amsterdam
• stateOrProvinceName = Noord-Holland
• countryName = NL
• serialNumber = 54992060
• businessCategory = Private Organization
• jurisdictionCountryName = NL
Om het nog gekker te maken: op 27-06-2024, de dag dat Google blogde (https://security.googleblog.com/2024/06/sustaining-digital-certificate-security.html) dat zij het vertrouwen opzegt in Entrust, heeft Entrust een QWAC afgegeven voor paytrail-com.aiiaclient.com (zie https://crt.sh/?id=13534295582&opt=ocsp).
Nog niet verlopen certificaten uit https://crt.sh/?q=aiiaclient.com (formattering aangepast door mij):
crt.sh ID LogAt^ From To
• Subject Common Name
• Subject Matching Identities
• Issuer
——————————————————————————————————————
13534295582 L:240627 F:240627 T:250208
• CN=paytrail-com.aiiaclient.com
• MI=paytrail-com.aiiaclient.com
• CA:C=ES, O="Entrust EU, S.L.",
organizationIdentifier=
VATES-B81188047, CN=Entrust
Certification Authority - ES QWAC2
——————————————————————————————————————
13139627119 L:240522 F:240522 T:241121
• CN=aiiaclient.com
• MI=aiiaclient.com
• CA:C=US, O="DigiCert, Inc.",
CN=GeoTrust Global TLS RSA4096
SHA256 2022 CA1
——————————————————————————————————————
12752024628 L:240417 F:240417 T:250314
• CN=bunq-com.aiiaclient.com
• MI=bunq-com.aiiaclient.com
• CA:C=NL, O=QuoVadis Trustlink B.V.,
CN=QuoVadis Qualified Web ICA G2
——————————————————————————————————————
12516691231 L:240327 F:240319 T:250208
• CN=paytrail-com.aiiaclient.com
• MI=paytrail-com.aiiaclient.com
• CA:C=ES, O="Entrust EU, S.L.",
organizationIdentifier=
VATES-B81188047, CN=Entrust
Certification Authority - ES QWAC2
——————————————————————————————————————
12440882387 L:240319 F:240108 T:250208
• CN=paytrail-com.aiiaclient.com
• MI=paytrail-com.aiiaclient.com
• CA:C=ES, O="Entrust EU, S.L.",
organizationIdentifier=
VATES-B81188047, CN=Entrust
Certification Authority - ES QWAC2
——————————————————————————————————————
12435672164 L:240319 F:240319 T:250208
• CN=paytrail-com.aiiaclient.com
• MI=paytrail-com.aiiaclient.com
• CA:C=ES, O="Entrust EU, S.L.",
organizationIdentifier
VATES-B81188047, CN=Entrust
Certification Authority - ES QWAC2
——————————————————————————————————————
12183032376 L:240225 F:240225 T:240825
• CN=aiia-eu.aiiaclient.com
• MI=aiia-eu.aiiaclient.com
• CA:C=US, O="DigiCert, Inc.",
CN=GeoTrust Global TLS RSA4096
SHA256 2022 CA1
——————————————————————————————————————
11679656236 L:240108 F:240108 T:250208
• CN=paytrail-com.aiiaclient.com
• MI=paytrail-com.aiiaclient.com
• CA:C=ES, O="Entrust EU, S.L.",
organizationIdentifier=
VATES-B81188047, CN=Entrust
Certification Authority - ES QWAC2
——————————————————————————————————————
9931574467 L:230718 F:230718 T:240718
• CN=home-saxo.aiiaclient.com
• MI=home-saxo.aiiaclient.com
• CA:C=NL, O=QuoVadis Trustlink B.V.,
CN=QuoVadis Qualified Web ICA G2
——————————————————————————————————————
Ook viel het mij op dat eerder uitgegeven, nog niet verlopen, QWAC's expliciet zijn ingetrokken (revoked); zie bijv. https://crt.sh/?id=12435672164&opt=ocsp en https://crt.sh/?id=11679656236&opt=ocsp.
Rare jongens, die Romeinen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!