image

Google zegt vertrouwen op in certificaten van certificaatautoriteit Entrust

vrijdag 28 juni 2024, 09:18 door Redactie, 14 reacties
Laatst bijgewerkt: 01-07-2024, 13:44

Google heeft het vertrouwen opgezegd in certificaten van certificaatautoriteit Entrust en zal die later dit jaar in Chrome gaan blokkeren, wat grote gevolgen kan hebben voor websites die van deze certificaten gebruikmaken. Aanleiding om het vertrouwen in de certificaatautoriteit op te zeggen is een 'jarenlang patroon' van het niet voldoen aan eisen, het niet nakomen van toezeggingen om zaken te verbeteren en het ontbreken van meetbare voortgang in reacties op gemelde incidenten.

Certificaatautoriteiten geven tls-certificaten uit die voor versleutelde verbindingen en identificatie van websites worden gebruikt. Fouten door deze partijen kunnen dan ook grote gevolgen hebben. Vanwege de belangrijke rol die certificaatautoriteiten spelen moeten die aan allerlei regels voldoen, zoals opgesteld in de CA/Browser TLS Baseline Requirements. Aangezien Entrust deze regels niet nakomt en vanwege het risico dat elk publiek vertrouwde certificaatautoriteit voor het internet-ecosysteem vormt, is het blijven vertrouwen van Entrust niet langer gerechtvaardigd, aldus Google.

Gebruikers van Google Chrome zullen als gevolg van dit opgezegde vertrouwen een certificaatwaarschuwing zien bij het bezoeken van websites die van Entrust-certificaten gebruikmaken die na 31 oktober zijn uitgegeven. Mozilla laat weten dat het onverantwoord is om Entrust-certificaten te blijven vertrouwen zonder concreet bewijs dat er verbeteringen zijn doorgevoerd, maar acties met betrekking tot Firefox zijn nog niet bekend.

Reacties (14)
28-06-2024, 09:27 door Erik van Straten
Alsof Google Trust Services niet massaal certificaten uitdeelt aan cybercriminelen (voor één voorbeeld van idioot vele zie https://infosec.exchange/@ErikvanStraten/112691093157654426).

Los daarvan is Google de grootste slager die zijn eigen vlees keurt - en daar bovenop anderen diens wil oplegt. Dit hele systeem, gebaseerd op het verdienmodel van VS-big-tech, is zo rot als een mispel.
28-06-2024, 09:45 door Briolet - Bijgewerkt: 28-06-2024, 09:51
Door Erik van Straten: …(voor één voorbeeld van idioot vele zie …

Ik zie alleen een wit scherm omdat je naar een site verwijst die de pagina opbouwt via alias dia naar een tracking domein verwijst, die mijn dns filter blokkeert: "b-cdn.net"
28-06-2024, 10:07 door Anoniem
Door Erik van Straten: Alsof Google Trust Services niet massaal certificaten uitdeelt aan cybercriminelen (voor één voorbeeld van idioot vele zie https://infosec.exchange/@ErikvanStraten/112691093157654426).
De certificaten gaan helemaal niet over de inhoud van een website. Dat de inhoud van een bepaalde website malafide is, is een issue die hier los van staat en moeten niet met elkaar verward worden.
28-06-2024, 12:21 door Anoniem
Door Anoniem:
Door Erik van Straten: Alsof Google Trust Services niet massaal certificaten uitdeelt aan cybercriminelen (voor één voorbeeld van idioot vele zie https://infosec.exchange/@ErikvanStraten/112691093157654426).
De certificaten gaan helemaal niet over de inhoud van een website. Dat de inhoud van een bepaalde website malafide is, is een issue die hier los van staat en moeten niet met elkaar verward worden.

Dat is losgezongen van de werkelijke situatie. Ik ben het eens met Erik van Straten dat Google actie moet ondernemen, dat certicaat moet worden ingetrokken. Het is niet verstrekt aan een betrouwbare partij.

Het andere punt dat Erik aanhaalt, de machtspositie, is ook een geldig bezwaar. Browser producenten zouden niet ook tegelijk CA's moeten zijn. Je kan niet je eigen vlees keuren.
28-06-2024, 13:21 door Anoniem
Door Erik van Straten: Alsof Google Trust Services niet massaal certificaten uitdeelt aan cybercriminelen (voor één voorbeeld van idioot vele zie https://infosec.exchange/@ErikvanStraten/112691093157654426).

Los daarvan is Google de grootste slager die zijn eigen vlees keurt - en daar bovenop anderen diens wil oplegt. Dit hele systeem, gebaseerd op het verdienmodel van VS-big-tech, is zo rot als een mispel.
Dit is echt geen persoonlijke aanval maar eerst verdom je diegene die self-CA / self-signed gebruiken omdat het bij de vertrouwde partijen zo geweldig is geregeld, ik lever nota bene bewijs dat dit zo is en nu ineens heb je het licht gezien? Iets met pot en ketel...
28-06-2024, 14:00 door Anoniem
Google had allang opgedeeld moeten worden in te managen hapklare delen, maar dat wil de politiek en de investeerder niet.

Wie is het slachtoffer, het produkt, u en ik dus, zoals steevast.
28-06-2024, 16:12 door Anoniem
Vergeet Firefox niet
29-06-2024, 10:10 door Erik van Straten
Door Anoniem: Vergeet Firefox niet
https://bugzilla.mozilla.org/show_bug.cgi?id=1904885
29-06-2024, 10:10 door Erik van Straten - Bijgewerkt: 29-06-2024, 10:24
Door Anoniem: [...]eerst verdom je diegene die self-CA / self-signed gebruiken omdat het bij de vertrouwde partijen zo geweldig is geregeld, ik lever nota bene bewijs dat dit zo is en nu ineens heb je het licht gezien? Iets met pot en ketel...
Waarom wil jij niet begrijpen dat het bij security, net als bij verkeersveiligheid, om risicoreductie gaat?

Elke aanvaller met toegang tot de, op te zetten, verbinding tussen jouw browser en de bedoelde server, óf die jou een vervalst DNS-antwoord kan sturen, kan een self-signed certificaat voor de domeinnaam van de door jou geopende website genereren (er bestaat zelfs software en er worden legitieme apparaten gebruikt die, on-the-fly, certificaten klonen, echter voorzien van een andere public key en andere digitale handtekening). En op deze manier jouw browser op een inhoudelijk identieke nepwebsite met dezelfde domeinnaam laten uitkomen. Gelukkig waarschuwen browsers indien een self-signed certificaat wordt gebruikt, of als zo'n AitM-apparaat niet expliciet wordt vertrouwd (door een rootcertificaat te importeren).

Zoals ik eerder schreef: je hebt geen certificaat nodig voor een versleutelde (https of whatever) verbinding. Bij TLSv1.3 wordt het certificaat zelfs pas verzonden (door de server) nádat de versleuteling van de verbinding tot stand is gekomen.

Al vele jaren (sinds forward secrecy) is authenticatie van de server het énige doel van een https servercertificaat. Wat voor zin heeft het als letterlijk iedereen, inclusief cybercriminelen zelf, certificaten zou kunnen maken die door alle browsers worden vertrouwd?

Net zoals Amsterdam 50km/u te hard vindt terwijl jij, v.w.b. https certificaten, geheel geen "snelheidsbeperking" lijkt te willen, vind ik dat bij het gebruik van DV certificaten, het oplossen van het belangrijkste probleem (van wie is die domeinnaam) naar gebruikers is verplaatst. Terwijl tegelijkertijd browsers, willens en wetens, het verschil tussen niets aan de domeinnaam toevoegende en, voor gebruikers, zinvollere informatie zijn gaan verhullen of ontoegankelijk hebben gemaakt.

In https://infosec.exchange/@ErikvanStraten/112688092149571552 leg ik het e.e.a. m.i. haarfijn uit (Engelstalig).
29-06-2024, 10:12 door Erik van Straten - Bijgewerkt: 29-06-2024, 10:13
Door Briolet:
Door Erik van Straten: …(voor één voorbeeld van idioot vele zie …

Ik zie alleen een wit scherm omdat je naar een site verwijst die de pagina opbouwt via alias dia naar een tracking domein verwijst, die mijn dns filter blokkeert: "b-cdn.net"
Merkwaardig.

*.b-cdn[.]net is inderdaad voornamelijk foute boel, maar zelf heb ik nooit gemerkt dat de Mastodon instance https://infosec.exchange ook maar iets met de CDN-provider "bunny[.]net" te maken had.

Helaas gebruikt Infosec.exchange Fastly als CDN, en ook Fastly is geen frisse partij - want steeds vaker gedogen ook "gerenommeerde" CDN's dat scamsites zich achter hun (van die CDN's) IP-adressen verstoppen. Als je die IP-adressen blokkeert kun je op veel sites problemen krijgen.

Zo te zien is infosec.exchange in Nederland te bereiken via de volgende IP-adressen:
151.101.3.52
151.101.67.52
151.101.131.52
151.101.195.52

2A04:4E42::820
2A04:4E42:200::820
2A04:4E42:400::820
2A04:4E42:600::820

Totaal los hiervan, maar in China via andere IP-adressen, waaronder:
2A03:2880:F126:83:FACE:B00C:0:25DE
2A03:2880:F12C:83:FACE:B00C:0:25DE
Ze zitten nu ook al in IP-adressen...

Ik weet niet hoe jouw filter werkt, maar denkbaar is dat 1 van de meer dan 4000 *.b-cdn[.]net subdomeinnamen via één van de genoemde Fastly IP-adressen bereikbaar is of was, en jouw filter daarom aanslaat op dat IP-adres.

Zo zit uptodown.com, een voornamelijk Spaanstalige downloadsite met dubieuze reputatie, "achter" Fastly. In https://www.virustotal.com/gui/ip-address/151.101.3.52/relations was gisteravond te zien dat VT gisteren honderden subdomeinen van uptodown.com heeft gescand, enkele voorbeelden (allen met score 0/93):
mozilla-firefox.id.uptodown.com
microsoft-office-2013.th.uptodown.com
passport-photo-maker.uptodown.com

Ook Hornbach maakt (deels) gebruik van Fastly: als ik https://int-svc.hornbach.nl/ open, zie ik, van boven naar beneden, het Hornbach logo, "Oops!" en een plaatje van een gereedschapskist. Wat zie jij?
29-06-2024, 17:11 door Anoniem
Door Erik van Straten: Waarom wil jij niet begrijpen dat het bij security, net als bij verkeersveiligheid, om risicoreductie gaat?
Omdat, net zoals bij zerotrust, het doel van reductie niet bereikt. Wat je hiermee wel bereikt is een Dam om een probleem heen zetten wat lijdt (met een lange ij) tot het moedwillig accepteren van een gegeven/schaap gedrag tot het negeren dat het restrisico bestaat en waar de gaten zitten die elke dag als nieuws voorbij komen.
Rest risico's zoals,
Gedogen dat (belangrijke) mensen bepalen wat ze wel/niet kunnen/mogen.
Niet luisteren naar de (werkvloer) mensen bij het doorvoeren van beleid.
De waanzin van comply or explain.
De wereld afbakenen rond om de gevestigde CA's.
Luisteren naar papieren CISO's, CISM's, CISA's, CRISC's (die geen f**k van de werkelijkheid weten).

Risicoreductie bestaat niet, hackers (gegeneraliseerd in deze context) zijn net muizen die door het allerkleinste gaatje naar binnen komen.
30-06-2024, 01:53 door Erik van Straten
Tijdens een onderzoekje zag ik dat er certificaten zijn afgegeven voor:

aiiaclient.com
aiia-eu.aiiaclient.com
home-saxo.aiiaclient.com
paytrail-com.aiiaclient.com
bunq-com.aiiaclient.com

Hoe overduidelijk phishing wil je het hebben?

Echter, voor bunq-com.aiiaclient.com is - op 17 april j.l. - een QWAC afgegeven door "QuoVadis Trustlink B.V.", uit https://crt.sh/?id=12752024628&opt=ocsp:
Subject:
• commonName = bunq-com.aiiaclient.com
• organizationName = bunq B.V.
• organizationIdentifier = PSDNL-DNB-R127999
• localityName = Amsterdam
• stateOrProvinceName = Noord-Holland
• countryName = NL
• serialNumber = 54992060
• businessCategory = Private Organization
• jurisdictionCountryName = NL

Om het nog gekker te maken: op 27-06-2024, de dag dat Google blogde (https://security.googleblog.com/2024/06/sustaining-digital-certificate-security.html) dat zij het vertrouwen opzegt in Entrust, heeft Entrust een QWAC afgegeven voor paytrail-com.aiiaclient.com (zie https://crt.sh/?id=13534295582&opt=ocsp).

Nog niet verlopen certificaten uit https://crt.sh/?q=aiiaclient.com (formattering aangepast door mij):
——————————————————————————————————————
crt.sh ID LogAt^ From To
• Subject Common Name
• Subject Matching Identities
• Issuer
——————————————————————————————————————
13534295582 L:240627 F:240627 T:250208
• CN=paytrail-com.aiiaclient.com
• MI=paytrail-com.aiiaclient.com
• CA:C=ES, O="Entrust EU, S.L.",
organizationIdentifier=
VATES-B81188047, CN=Entrust
Certification Authority - ES QWAC2
——————————————————————————————————————
13139627119 L:240522 F:240522 T:241121
• CN=aiiaclient.com
• MI=aiiaclient.com
• CA:C=US, O="DigiCert, Inc.",
CN=GeoTrust Global TLS RSA4096
SHA256 2022 CA1
——————————————————————————————————————
12752024628 L:240417 F:240417 T:250314
• CN=bunq-com.aiiaclient.com
• MI=bunq-com.aiiaclient.com
• CA:C=NL, O=QuoVadis Trustlink B.V.,
CN=QuoVadis Qualified Web ICA G2
——————————————————————————————————————
12516691231 L:240327 F:240319 T:250208
• CN=paytrail-com.aiiaclient.com
• MI=paytrail-com.aiiaclient.com
• CA:C=ES, O="Entrust EU, S.L.",
organizationIdentifier=
VATES-B81188047, CN=Entrust
Certification Authority - ES QWAC2
——————————————————————————————————————
12440882387 L:240319 F:240108 T:250208
• CN=paytrail-com.aiiaclient.com
• MI=paytrail-com.aiiaclient.com
• CA:C=ES, O="Entrust EU, S.L.",
organizationIdentifier=
VATES-B81188047, CN=Entrust
Certification Authority - ES QWAC2
——————————————————————————————————————
12435672164 L:240319 F:240319 T:250208
• CN=paytrail-com.aiiaclient.com
• MI=paytrail-com.aiiaclient.com
• CA:C=ES, O="Entrust EU, S.L.",
organizationIdentifier
VATES-B81188047, CN=Entrust
Certification Authority - ES QWAC2
——————————————————————————————————————
12183032376 L:240225 F:240225 T:240825
• CN=aiia-eu.aiiaclient.com
• MI=aiia-eu.aiiaclient.com
• CA:C=US, O="DigiCert, Inc.",
CN=GeoTrust Global TLS RSA4096
SHA256 2022 CA1
——————————————————————————————————————
11679656236 L:240108 F:240108 T:250208
• CN=paytrail-com.aiiaclient.com
• MI=paytrail-com.aiiaclient.com
• CA:C=ES, O="Entrust EU, S.L.",
organizationIdentifier=
VATES-B81188047, CN=Entrust
Certification Authority - ES QWAC2
——————————————————————————————————————
9931574467 L:230718 F:230718 T:240718
• CN=home-saxo.aiiaclient.com
• MI=home-saxo.aiiaclient.com
• CA:C=NL, O=QuoVadis Trustlink B.V.,
CN=QuoVadis Qualified Web ICA G2
——————————————————————————————————————

Ook viel het mij op dat eerder uitgegeven, nog niet verlopen, QWAC's expliciet zijn ingetrokken (revoked); zie bijv. https://crt.sh/?id=12435672164&opt=ocsp en https://crt.sh/?id=11679656236&opt=ocsp.

Rare jongens, die Romeinen.
01-07-2024, 13:34 door Anoniem
Jij zegt "overduidelijk phishing", maar op welke basis? Lijkt mij volledig valide:

https://developer.mastercard.com/open-banking-europe/documentation/licensed/insights/production/cert/

As QWAC certificates are also valid as TLS certificates for websites, we require that you specify the Common Name (CN) as well as Subject Alternate Name (SAN) to be "yourname-com.aiiaclient.com" where yourname-com is based on your company domain, by replacing the dot with a dash. For example, if your domain is example.com, then you should use example-com.aiiaclient.com. Please let us know once you have ordered the certificate as the certificate issuer will require us to approve it (write to openbankingeu_support@mastercard.com). When chosing which email to validate the certificate on, please choose hostmaster@aiiaclient.com.
01-07-2024, 13:39 door Anoniem
In het artikel staat:

> Gebruikers van Google Chrome zullen als gevolg van dit opgezegde vertrouwen een certificaatwaarschuwing zien bij het bezoeken van websites die van Entrust-certificaten gebruikmaken.

Dit klopt echter niet, Google heeft aangegeven dat certificaten uitgegeven voor 1 November gewoon vertrouwd blijven tot dat deze verlopen. Certificaten uitgegeven door Entrust vanaf 1 November 2024 zullen echter niet meer door Chrome vertrouwd worden.

> TLS server authentication certificates validating to the following Entrust roots whose earliest Signed Certificate Timestamp (SCT) is dated after October 31, 2024, will no longer be trusted by default.

Deze SCT is de in het certificaat opgenomen handtekening van het CT-log zodat de browser zeker weet dat het certificaat niet na deze datum is uitgegeven.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.