Google blokkeert alle ssl-certificaten van Chinese certificaatautoriteit

Google gaat alle certificaten blokkeren van Cnnic, de certificaatautoriteit van de Chinese overheid. Daardoor krijgen gebruikers van Chrome binnenkort een waarschuwing als ze websites bezoeken die de betreffende certificaatautoriteit gebruiken.

Google heeft daartoe besloten nadat een certificaat dat door Cnnic was uitgegeven werd misbruikt om onder meer valse ssl-certificaten voor Google-domeinen uit te geven. Het Egyptische bedrijf MCS Holdings gebruikte die certificaten in apparatuur die bedrijven gebruikten om het ssl-verkeer van bijvoorbeeld medewerkers te onderscheppen, maar de certificaten konden ook 'in het wild' worden gebruikt om verkeer van en naar Google-domeinen te onderscheppen.

Cnnic geeft niet alleen certificaten voor de Chinese overheid uit, maar ook aan commerciële bedrijven. Daardoor zijn waarschijnlijk vele tienduizenden of zelfs miljoenen https-sites straks niet meer voorzien van een certificaat dat werkt in Chrome. Google zegt daarom een overgangsperiode in te bouwen waarin Cnnic-klanten kunnen overstappen naar een andere certificaatautoriteit, al is onduidelijk hoe lang die periode is. Cnnic noemt de beslissing van Google in een reactie 'onacceptabel en onverstaanbaar tegenover Cnnic'.

Het is voor het eerst sinds de DigiNotar-zaak dat een certificaatautoriteit op deze manier wordt geweerd uit een grote browser. Dat Nederlandse bedrijf werd in 2011 gehackt, waarbij de aanvallers valse ssl-certificaten genereerden. Hoewel DigiNotar op de hoogte was van de aanval, zweeg het bedrijf daarover, waardoor de aanvallers hun valse certificaten ongestoord kunnen gebruiken. Waarschijnlijk zat de Iraanse overheid achter de aanval; die zou verkeer van activisten hebben willen onderscheppen.

Google sluit niet uit dat Cnnic-certificaten uiteindelijk weer zullen worden geaccepteerd in Chrome. Daarvoor zal de certificaatautoriteit wel eerst certificate transparency moeten inbouwen. Met die techniek kunnen derden controleren of een certificaatautoriteit valse certificaten heeft uitgegeven. Het is onduidelijk wanneer Cnnic die techniek zal implementeren.

IT-banen

Reacties (60)

Henk Poley 2 april 2015 09:16

In OS X handmatig dit systeem wijd doorvoeren:

Sleutelhangertoegang > Systeemroots > Zoek naar "CCNIC ROOT" > 'Vertrouw' uitklappen > kies 'Vertrouw Nooit' > Beheerder wachtwoord ingeven

[Reactie gewijzigd door Henk Poley op 27 juli 2024 02:09]

anargeek @Henk Poley • 2 april 2015 10:54

In Windows kan je dit ook handmatig overrulen:

Open %WINDIR%/System32/certmgr.msc als administrator
Ga naar Actions -> Find Certificate en zoek op 'CNNIC ROOT'
Rechterklik op de resultaten en klik op Properties
Selecteer "Disable all purposes for this certificate" en klik op Apply

[edit] Getest op Windows 8.1, maar dit zou op alle recentelijke versies vanaf XP moeten werken

[Reactie gewijzigd door anargeek op 27 juli 2024 02:09]

MSalters

Politiek en recht

@anargeek • 2 april 2015 14:51

System32 zit gewoon in je pad, dus WinKey-R "certmgr.msc" werkt ook.

choozy @Henk Poley • 2 april 2015 23:34

En op Android:
Instellingen>beveiliging >vertrouwde id-gegevens

Vervolgens scrollen naar CNNIC CA, daarop klikkennaar onder scrollen en klikken op uitschakelen.

Het vinkje naast het certificaat staat nu uit.

seweso 2 april 2015 08:24

Houd een browser niet het echte/oude certificaat vast? Bepaald daarmee de eigenaar niet welk certificaat geldig is? Je browser kan toch niet van de ene naar het andere certificaat wisselen zonder enige waarschuwing? Klinkt gek.

wildhagen

Politiek en recht
Google

@seweso • 2 april 2015 08:30

Er bestaat zoiets als een Certificate Revocation List die je browser zou moeten raadplegen, op deze CRL staan alle ingetrokken (en dus ongeldige) certificaten.

Nieknikey @wildhagen • 2 april 2015 08:46

De Certificate Revocal List heeft weinig te maken met het onderwerp waarover dit artikel gaat. Het besluit dat google heeft genomen heeft namelijk niet als gevolgdat een certificaat gerevoked wordt. Het besluit dat Google heeft genomen is dat de Root-CA Cnnic niet meer vertrouwd wordt. Daardoor worden per definitie alle "child" CA's, die voor het bewijzen van hun integriteit afhankelijk zijn van hun Root-CA, ook niet meer vertrouwd. Dit betekent dat certificaten die uitgegeven zijn door Intermediate-CA MCS Holdings ook niet meer vertrouwd zijn.

Niet vertrouwde certificaten zullen een beveiligingswaarschuwing opleveren en initieel zal de browser weigeren een SSL verbinding op te stellen. Wel kan een gebruiker de waarschuwing negeren (feitelijk kiest een gebruiker er dan voor om het certificaat zelf te vertrouwen, ook al doet de browser dit niet).

Alle uitgegeven certificaten van Cnnic en de intermediate-CA's blijven geldig. Ze komen dus niet op een CRL te staan (want die wordt door Cnnic zelf bijgehouden). Ook blijven de certificaten vertrouwd in Firefox, Safari, IE, etc. etc, totdat besloten wordt om ook in die browsers niet meer Cnnic te vertrouwen.

the_stickie @Nieknikey • 2 april 2015 11:35

eigenlijk is dit hetzelfde als het revoken van het root certificaat van de CA. alleen is er geen authority die CRL beheerd over root authorities

Elke gebruiker zou, theoretisch, zelf een lijjstje moeten maken/beheren van welke CA's hij vertrouwd. bijna niemand begrijpt dit, noch hebben we eenvoudig toegang tot informatie die dat mogelijk maakt. Daarom bepalen de vendors de default 'trusted root certificate authorities" (althans voor jan met de pet)

Captain_Chaos36 @seweso • 2 april 2015 12:27

Toch is dat precies hoe het werkt. Er zijn wel browser plugins die precies doen wat jij zegt (waarschuwen als het certificaat van een site veranderd), en er zijn allerlei mechanismes waarmee de eigenaar van een site via andere kanalen aan kan geven welk certificaat geldig is, maar die worden (nog) niet veel gebruikt.

Het idee is dat dat niet nodig is omdat het feit dat het certificaat is ondertekend door een CA al aangeeft dat je erop kunt vertrouwen dat het certificaat van de rechtmatige eigenaar van de site is. Dat gaat soms fout, maar het is maar de vraag of je daar veel aan kunt doen met allerlei technieken er om heen, aangezien elke techniek fout kan gaan...

Verwijderd 2 april 2015 08:43

Ik hoop dat andere browser fabrikanten volgen. Het geeft wel weer de beperkingen van de huidige Public Key Infrastructuur in browsers aan. Waarom moet ik als Nederlander ook de certificaten van China of Turkije vertrouwen? En waarom zou een Turk de Nederlandse overheid vertrouwen (buiten het feit dat China en Turkije natuurlijk iets verschillend met mensenrechten omgaan)?

Er moet iets veranderen. Ik denk dat er tenminste 1 extra laag moet komen die de gebruiker vraagt of niet-generieke certificaten vertrouwt moeten worden. Dat maakt natuurlijk wel dat het lastiger is om een nieuwe organisatie op te zetten om generieke certificaten uit te geven, maar er is concurrentie zat.

skatebiker @Verwijderd • 2 april 2015 09:00

Waarom niet ? En bovendien maak je dat als gebruiker toch zelf uit ?

China gaat erg ver in het controleren van alle telecommunicatie (internet, telefonie, etc). Eigenlijk moet je er geweest zijn om het te begrijpen.

Helemaal waar. Maar Google gaat erg ver in het controleren van SSL certificaten en bepalen even wat wel en wat niet geldig is. Ejn ook in veel andere dingen op internet. Google is niet de baas van internet, al denken ze dat zelf.
Of een certificaat geldig is, dat maak ik als gebruiker zelf wel uit, desnoods met hulp van iemand die er verstand van heeft en dat is niet alleen Google. Leve de concurrentie.

Jester-NL @skatebiker • 2 april 2015 11:47

Google als bedrijf is getroffen door het feit dat er ergens valse certificaten zijn uitgegeven op hun naam.
Vervolgens geeft Google (de software-bouwer) aan dat ze van plan zijn om de certificaten van de Certificaat Authoriteit die dat mogelijk maakte (waarschijnlijk tegen de afspraken van het CAB (de overkoepelende club die over certificaten gaat, en waar ook Cnnic deel van maakt, anders worden hun certificaten sowieso niet vertrouwd) op termijn niet meer te vertrouwen, tenzij die CA acties onderneemt om inzichtelijk te maken dat die valse certificaten niet (of veel minder makkelijk) uitgegeven kunnen worden.
Op zich zie ik daar voornamelijk een stuk bedrijfsvoering in. Zeker gezien het vertrouwen dat Google (nodig) heeft. Hoe je het ook wendt of keert, je wilt toch wel graag de zekerheid dat alleen jij je Gmail kunt lezen. Dat heeft niets met 'de baas van internet zijn' te maken.

Of een certificaat geldig is, dat maak ik als gebruiker zelf wel uit

Ouch... en toen stond er plots een raar uitgegeven certificaat met een groene balk op een site die wel heel erg lijkt op die van je bank...

Certificaten zijn gebaseerd op vertrouwen. Op het je (aantoonbaar) houden aan afspraken. Tenzij jij voor iedere site die je (secure) wilt gaan bezoeken de volledige doopceel wilt gaan lichten (WhoIs, KvK, certificaat-keten) en op basis daarvan wilt bepalen of je wel of niet wilt inloggen of je adres- of bankgegevens wilt achterlaten, is vertrouwen in certificaten de meest praktisce oplossing.
En die certificaten worden (leve de concurentie) door verschillende bedrijven uitgegeven

killercow @skatebiker • 2 april 2015 09:34

cnnic had meerere ongeledige certificaten voor Google domeinen uitgegeven. Hiermee kan dus bijvoorbeeld ook de browser can google (chrome) van een update voorzien worden zodat Google de controle op het hele certificaatverhaal verliest.

Als je een Browserfabrikant bent heb je de verantwoordelijkheid op je genomen elk certificaat 100% te controleren.
Als je een Certification Authorothy bent heb je de verantwoordelijkheid op je genomen goed te controleren of de partij waaraan je een certificaat uitdeeld wel echt de partij is die het zegt dat het is, en of het certificaat niet voor doeleinen gebruikt kan worden die niet in de haak zijn met wat certificaten proberen te bewerkstellingen. (namelijk 100% vertrouwde communicatie tussen 2 partijen waarvan er een bewezen heeft te zijn wie ze zeggen dat ze zijn)

Wie van de 2 heeft u nu zn verantwoordelijkheid niet genomen?

Captain_Chaos36 @killercow • 2 april 2015 12:19

cnnic heeft geen ongeldige certificaten voor Google domeinen uitgegeven! Ze hebben een intermediate signing certificate uitgegeven, namens zichzelf, aan een Israëlisch bedrijf. Dat doen wel meer CA's en daar is op zich niks mis mee. Het is vreemd dat Google cnnic daar nu voor straft, zonder de hele praktijk in de ban te doen.

Dat Israëlische bedrijf had een contract getekend waarin stond dat het certificaat alleen intern gebruikt zou worden, maar heeft dat contract geschonden door het in een proxy te installeren. Zij zijn de foute partij.

Ook als cnnic wel had gedaan wat je zegt is het niet waar dat Chrome daarmee van een ongeldige update voorzien had kunnen worden, aangezien Chrome weet wat de geldige certificaten van Google zijn en daar op controleert. Dat is nu juist precies hoe dit probleem ontdekt is.

Verwijderd @Captain_Chaos36 • 2 april 2015 12:51

Als het certificaat alleen intern gebruikt zou worden is het ook niet nodig om het te laten ondertekenen door een CA. De CA is per definitie verantwoordelijk voor alle certificaten die het ondertekent, intermediate of niet.

Ge Someone @Verwijderd • 2 april 2015 20:30

Dan zouden de gebruikers wiens SSL verkeer wordt onderschept dat wel kunnen ziens volgens mij. (door het certificaat te inspecteren).

Verwijderd @Ge Someone • 3 april 2015 09:39

Dat kunnen ze nu ook. Als iemand die moeite doet zal hij of zij ook wel weten dat niet 100% van de SSL websites wordt ondertekend door een Chinese CA.

Jester-NL @Captain_Chaos36 • 2 april 2015 16:41

Volgens het nieuwsbericht van vandaag, het nieuwssbericht van 24 maart en google zijn er door MCS Holding certificaten aangevraagd op naam van diverse Google-domeinen en zijn deze verstrekt door Cnnic.

Het Egyptische MCS gebruikte het certificaat in zijn commerciële software waarmee bedrijven het internetverkeer van hun medewerkers kunnen aftappen.

Sowieso een stuk software waar ik al niet blij van wordt, maar daar zitten dus certificaten in om (onder andere) Gmail te kunnen onderscheppen.

Nu kun je er lang of kort over lullen, maar... MCS Holding uit Egypte is NIET een CA, en kan en mag dus geen certificaten uitgeven. Zelfs als Cnnic ze de tools in handen heeft gegeven om dat uiteindelijk wel te doen, is dat Cnnic aan te rekenen.

Captain_Chaos36 @Jester-NL • 2 april 2015 17:20

Volgens het nieuwsbericht van vandaag, het nieuwssbericht van 24 maart en google zijn er door MCS Holding certificaten aangevraagd op naam van diverse Google-domeinen en zijn deze verstrekt door Cnnic.

Dat is niet waar. Er staat: "The certificates were issued by an intermediate certificate authority apparently held by a company called MCS Holdings. This intermediate certificate was issued by CNNIC." M.a.w. the certificates (voor Google domeinen) waren uitgegeven door MCS Holdings. This intermediate certificate (dus niet een certificaat voor een Google domein, maar een certificaat waarmee je andere certificaten kunt tekenen) was uitgegeven door cnnic.

Het uitgeven van intermediate certificates door CA's is in principe een geaccepteerde praktijk. Het is niet realistisch om te verwachten dat cnnic kan voorkomen dat derden hun certificaten misbruiken, en inconsequent om wel cnnic's certificaten te vertrouwen, maar niet te vertrouwen op hun vermogen hun autoriteit te delegeren. Je vertrouwt ze, of je vertrouwt ze niet.

Mijn punt is dat je óf helemaal tegen het delegeren van hun autoriteit door CA's moet zijn, en dan is het dus hypocriet om alleen cnnic aan te pakken, óf niet, en dan kun je cnnic weinig kwalijk nemen als een afnemer van hun zich misdraagt.

Verwijderd @Captain_Chaos36 • 2 april 2015 13:26

Voor intern gebruik? Dan was een eigen CA met self signed certs voldoende.
Voor een VPN naar mijn eigen server gebruik ik ook self signed certificaten. Werkt prima en ik heb alles 100% in de hand.

Je mag je afvragen of je uberhaupt als CA wel certificaten wil afgeven voor intern gebruik bij andere bedrijven. Als misbruik er zo bovenop ligt dan lijkt me dit ondermijnend voor het hele certificaten systeem.

CAPSLOCK2000

Politiek en recht
Netwerk en systeembeheer
Google

@Captain_Chaos36 • 2 april 2015 15:18

cnnic heeft geen ongeldige certificaten voor Google domeinen uitgegeven! Ze hebben een intermediate signing certificate uitgegeven, namens zichzelf, aan een Israëlisch bedrijf. Dat doen wel meer CA's en daar is op zich niks mis mee. Het is vreemd dat Google cnnic daar nu voor straft, zonder de hele praktijk in de ban te doen.

Dat Israëlische bedrijf had een contract getekend waarin stond dat het certificaat alleen intern gebruikt zou worden, maar heeft dat contract geschonden door het in een proxy te installeren. Zij zijn de foute partij.

Google stelt dat CNNIC niet goed heeft gecontroleerd of dat Israëlische bedrijf wel verstandig met de certificaten om is gegaan. Als je de macht hebt om dergelijke certificaten uit te geven staat daar ook een grote verantwoordelijkheid tegenover.

Ik vind het prima, ze kunnen niet streng genoeg zijn. Het hele CA systeem is rot. Het minste wat je kan doen is extreem streng controleren.

Captain_Chaos36 @Verwijderd • 2 april 2015 15:30

Toch wel een van de meest domme en laffe reacties die in lange tijd gezien heb...

begintmeta @skatebiker • 2 april 2015 09:35

...
Of een certificaat geldig is, dat maak ik als gebruiker zelf wel uit, desnoods met hulp van iemand die er verstand van heeft en dat is niet alleen Google. Leve de concurrentie.

Dat kan inderdaad, maar in de praktijk is lang niet iedereen op de hoogte van hoe certificaten überhaupt werken en hoe je het een en ander kan instellen. Dus doen de experts bij de browsermakers het voor de meesten, want beginnen met een lege lijst zodat iedereen bewust zelf moet bepalen wie te vertrouwen, al dan niet na consultatie van experts, is ook geen praktische oplossing.

IMHO[sup]1[/sup],[sup]2[/sup] is er niets mis mee wat restrictiever te includeren en dan gebruikers meer gedwongen zelf te laten kiezen. Maar goed, dat gaat altijd ten koste van het gebruiksgemak en ook daardoor uiteindelijk eventueel ten koste van de veiligheid.

[Reactie gewijzigd door begintmeta op 27 juli 2024 02:09]

Verwijderd @skatebiker • 2 april 2015 11:56

Of een certificaat geldig is, dat maak ik als gebruiker zelf wel uit, desnoods met hulp van iemand die er verstand van heeft en dat is niet alleen Google..

Als je dat op een betrouwbare manier kan heb je mijn grootste respect. Maar dan heb jij ook helemaal geen certificaten nodig nietwaar? Dan weet je ook al bijvoorbaat dat een site wel of niet betrouwbaar is.

Ik denk echter dat er geen enkele individuele internetgebruiker voldoende kennis en informatie heeft om zelf te kunnen bepalenm of iets veilig is. Zelfs Google doet die claim niet.

justme256 2 april 2015 08:40

Leuk plan van Google, maar het probleem is dat Cnnic waarschijnlijk de enige is in China die SSL certificaten uit mag geven en Chinese sites zullen (waarschijnlijk) verplicht zijn daar SSL certificaten af te nemen. Dat wil dus zeggen dat elke site uit China in Chrome in foutmelding zal geven over het certificaat. Ik kan de stap wel begrijpen, maar het is nogal wat om dit te doen.

China gaat erg ver in het controleren van alle telecommunicatie (internet, telefonie, etc). Eigenlijk moet je er geweest zijn om het te begrijpen. Er is maar 1 telecom provider (China Telecom) en hoewel er meer namen staan, is het uiteindelijk allemaal hetzelfde bedrijf voor telefonie, internet, etc. DNS poisening en het botweg blokkeren van sites is er erg normaal. Ik ben een paar jaar geleden in Shanghai geweest en zelfs het openen van sommige NL nieuwssites was niet mogelijk omdat het DNS record binnen China niet bestond / verkeerd verwees (weet ff niet meer helemaal hoe het zat). Ik had uiteindelijk een VPN verbinding nodig om op de hoogte te blijven van nieuws uit Nederland.

Kalief @justme256 • 2 april 2015 08:57

Dat wil dus zeggen dat elke site uit China in Chrome in foutmelding zal geven over het certificaat.

Nee, alleen de sites waar je een beveiligde verbinding mee wilt opzetten.

BRAINLESS01 @Kalief • 2 april 2015 09:28

En dat klopt ook, want de verbinding is helemaal niet beveiligd. Certificaten die de overheid kan ontsleutelen zorgen niet voor extra beveiliging, maar voor schijnveiligheid.

Lennie @BRAINLESS01 • 2 april 2015 14:07

De overheid kan het alleen ontsteutelen als ze een nieuwe certificaat uitgeeft.

Dat kun je voorkomen met:
https://blog.mozilla.org/...09/02/public-key-pinning/

Je voegt een header toe aan je site die zegt: alleen deze public keys vertouwen. Geldigheid: x tijd.

Voor regelmatige bezoekers lost dat het probleem dus op.

En voor de beheerders is dit dus een detectie mechanisme.

Kenzi @justme256 • 2 april 2015 09:26

Er is maar 1 telecom provider (China Telecom) en hoewel er meer namen staan, is het uiteindelijk allemaal hetzelfde bedrijf voor telefonie, internet, etc. DNS poisening en het botweg blokkeren van sites is er erg normaal.

Sorry maar dat is onzin. Er zijn meerdere telecomproviders in China die ook verschillende netwerken gebruiken, verschillende DNS servers etc.
China Mobile, China Telecom, China Unicom. Daarnaast zijn er nog lokale kabel internet aanbieders.

En wat blokkeren van Nederlandse sites betreft, ik moet de eerste nog tegen komen.
Wel kan ik niet op Tweakers FP posten zonder VPN aan maar dat is aan de zijde van Tweakers

Blaise @justme256 • 2 april 2015 10:08

Leuk plan van Google, maar het probleem is dat Cnnic waarschijnlijk de enige is in China die SSL certificaten uit mag geven en Chinese sites zullen (waarschijnlijk) verplicht zijn daar SSL certificaten af te nemen.

Dat valt te verifiëren: Steekproef onder populaire Chinese websites:

baidu.com - VeriSign
weibo.com - Geen SSL voor login

qq.com - Geotrust
sohu.com - VeriSign
hao123.com - VeriSign
taobao.com - VeriSign
sina.com.cn - VeriSign

Dus het lijkt me dat dat niet klopt.

[Reactie gewijzigd door Blaise op 27 juli 2024 02:09]

CyBeR @justme256 • 2 april 2015 10:36

Dat wil dus zeggen dat elke site uit China in Chrome in foutmelding zal geven over het certificaat. Ik kan de stap wel begrijpen, maar het is nogal wat om dit te doen.

Dat is inderdaad nogal wat, maar dat is het risico wat je als CA neemt als je dat soort louche praktijken ondersteunt. Als jij als CA certs ondertekent die je niet zou moeten ondertekenen dan word je uit de browsers gehaald. Zo werkt dat nou eenmaal.

kikker916 2 april 2015 08:25

Goede zaak, kan toch niet mogelijk zijn dat dit soort praktijken mogelijk zijn.

bbob

Politiek en recht
Netwerk en systeembeheer
Google

@kikker916 • 2 april 2015 08:55

Je kan het zien als een goede zaak, voor mij laat dit het begin van het einde van ssl certificaten zien. Keer op keer valse certificaten al dan niet door een fout.
Het systeem is lek en begint steeds lekker te worden.

Ja natuurlijk roepen mensen dan het betreft maar een paar voorbeelden op miljoenen goede certificaten Voor die mensen 1 vals google certificaat betreft ook een tiental miljoenen publiek.
Valse certificaten worden niet gebruikt voor de webshop van de bakker op de hoek maar voor banken, google en dat soort bedrijven.

Tijd dus voor een ander systeem om een website te kunnen vertrouwen.

Fladder80 @bbob • 2 april 2015 09:43

Dat zat ik dus ook te denken, vraag is alleen welk systeem dan? Ieder systeem is uiteindelijk op vertrouwen gebasseerd, dus ook een nieuw systeem zal uiteindelijk gevoelig blijken te zijn voor lekken...
Ik denk dat we er uiteindelijk toch op zullen moeten vertrouwen dat de bouwers van browsers en de CA's hun werk goed doen bij controles van certificaten en ook daadwerkelijk zullen ingrijpen als er iets niet klopt.

borft @Fladder80 • 2 april 2015 10:32

njs, een systeem als DNSSec met Certificate records zou al een stuk beter zijn. Het zorgt ervoor dat alleen de beheerder van een domein dergelijke informatie kan veranderen. Je moet dan dus de private key van het domein hebben, en access op DNS om het aan te kunnen passen.

CAPSLOCK2000

Politiek en recht
Netwerk en systeembeheer
Google

@borft • 2 april 2015 15:19

Het bestaat en heet DANE. De ondersteuning is nog vrij beperkt maar het is ver genoeg om er zelf mee te experimenteren.

borft @CAPSLOCK2000 • 2 april 2015 15:27

ah jah, dat is inderdaad wat ik bedoelde, kon even niet op de naam komen

ajakkes @Fladder80 • 2 april 2015 12:40

Een certificaat uitgegeven door de Nederlandse Vereniging van Banken, uitgegeven door vereniging van thuis winkels, Nederlandse overheid, o.i.d

Instanties die betrouwbaarheid hoog hebben staan en iets hebben te verliezen. Maar ook Mozilla, Google en Microsoft. Het zou helpen als een certificaat meerdere vertrouwde uitgevers tegelijk kan hebben. En de gebruiker weet wie die partij is.

Ik heb er niets aan dat mijn browser automatisch sites in China, Amerika en Rusland vertrouwd. Niet dat ik ze niet vertrouw, maar ik ken ze niet. Liever zie ik dat de uitgever die ik wel vertrouw echt vertrouwen heeft.

En daarom moeten de uitgevers bij twijfel direct geblokkeerd worden. En het voor de eindgebruiker eenvoudig zijn om een uitgever te vertrouwen.

Aikon @bbob • 2 april 2015 10:29

Het systeem is niet zo zeer lek, het is gebaseerd op vertrouwen. En dat vertrouwen wordt nu eenmaal zo nu en dan geschonden.

Het is nu zaak een nieuw systeem te implementeren wat nergens op vertrouwen rust, zoiets als de blockchain. Maar of dat te gebruiken is voor certificaten betwijfel ik. Iemand moet nu eenmaal een certificaat voor een bedrijf aanvragen ergens, en dat lijkt me een zwak punt.

bbob

Politiek en recht
Netwerk en systeembeheer
Google

@Aikon • 2 april 2015 12:13

Goede zaak van google, als vertrouwen geschonden is kun je deze registrar dus niet meer vertrouwen. Dit zal misschien een waarschuwing zijn voor anderen om beter te kijken wat en en wie ze iets uitgeven.

Verwijderd @bbob • 2 april 2015 09:41

Google is dus al bezig met certificate pinning - het inbouwen van certificaten in de browser. Als een bekend Google certificaat dan niet matcht met het certificaat van de gebruiker wordt er meteen een signaal naar Google gestuurd (en zo is ook ontdekt dat Turkije certificaten van Google had vervalst). Op die manier weet je al zeker dat je CA niet te vertrouwen is, en als het vertrouwen in een CA weg is blijft er niets meer van over.

Een redelijk alternatief is trust on first use (TOFU), een systeem dat ook bij SSH wordt gebruikt. Echter zit je hier met het probleem dat je op je eerste bezoek ook echt een valide certificaat voor je moet hebben (dus op een vertrouwd netwerk en apparaat voor het eerst de site bezoekt en hopen / onderzoeken of het certificaat inderdaad het echte certificaat is), en dat de gebruiker veelal incompetent is en doodleuk warning messages negeert.

Lennie @bbob • 2 april 2015 14:09

Daarom proberen browser bouwers en anderen steeds meer extra beveiligingen toe te voegen zonder gelijk het hele systeem overboord te gooien:
* betere certificate revocation:
- OCSP stapling
- OCSP must staple
- OneCRL voor intermediate en root certificates revocation

* zorgen dat je altijd HTTPS krijgt met een certificaat die de beheerder van de site/domein wil:
- public key pinning
- HTTP Strict Transport Security
- DANE via DNSSEC

* controle wat voor certificaten de CA's uitgeven:
- Certificate transparency

* makkelijker maken om HTTPS uit te rollen:
- Let's Encrypt project

* gebruik van HTTPS stimuleren:
- HTTP/2 wordt in Firefox en Chrome alleen toegestaan als HTTPS wordt gebruikt.

etc.

Edit: categorieën toegevoegd.

[Reactie gewijzigd door Lennie op 27 juli 2024 02:09]

Gomez12 2 april 2015 09:32

Ik ben wel benieuwd hoe het plan van ssl-sites hoger waarderen in google-ranking hiermee samenwerkt.

Want dan ga je opeens niet meer alleen praten over onbetrouwbare sites, maar ook over "onvindbare" sites en dan heb je het opeens over best grote gevolgen.

CAPSLOCK2000

Politiek en recht
Netwerk en systeembeheer
Google

@Gomez12 • 2 april 2015 15:23

De marketingafdeling van een klant heeft me om die reden al gevraagd om hun site https-only te maken. Daar heb ik uiteraard graag bij geholpen.

Volkie @Gomez12 • 2 april 2015 09:46

Kijk, zie daar een mogelijk nieuw verdien model voor Google.....

[Reactie gewijzigd door Volkie op 27 juli 2024 02:09]

watercoolertje

Google

@Volkie • 2 april 2015 10:36

Ze gaan SSL certificaten verkopen?

Volkie @watercoolertje • 9 april 2015 19:21

Je mag Google gaan betalen om jou niet ssl site hoger in de search results te krijgen (of er überhaupt nog in).

watercoolertje

Google

@Volkie • 9 april 2015 20:14

En waarom zouden ze dat nu dan niet doen? Daar hebben ze SSl niet echt voor nodig.

Volkie @watercoolertje • 10 april 2015 18:49

Het zou zomaar kunnen dat ze dat nu ook doen. Het probleem daarmee is alleen precies wat de EU nu aan het onderzoeken is. Als je monopolist bent dan kan je niet zomaar bedrijven die betalen voor laten gaan.

Jorn 2 april 2015 09:49

Worden deze certificaten ook door niet-Chinese sites gebruikt?(op een legitieme manier dan, uiteraard niet om verkeer te onderscheppen)
Mocht dat niet zo zijn en ze nagenoeg alleen op Chinese sites gebruikt worden dan zullen de meeste mensen(buiten China) hier nagenoeg niets van gaan merken.

Ytrog 2 april 2015 12:44

CNNIC zie ik al niet in de cert-stores van mijn Windows 7 bak staan. Is die standaard niet meegeleverd?

robvanwijk

Politiek en recht
Netwerk en systeembeheer

2 april 2015 22:17

Cnnic noemt de beslissing van Google in een reactie 'onacceptabel en onverstaanbaar tegenover Cnnic'.

Van de ene kant snap ik het punt van Cnnic wel; als fabrikant van één van de grootste browsers is dit te zien als "machtsmisbruik" van Google. Maar van de andere kant, wat hier feitelijk gebeurt is alleen maar dat Google zegt "wij durven onze hand niet meer in het vuur te steken voor jullie betrouwbaarheid"... en dan zitten we juist opeens in de situatie "hoe kan dat überhaupt onacceptabel zijn?", waarom zou Google "verplicht" zijn om Cnnic blind te vertrouwen, zeker op het moment dat ze zojuist hebben bewezen niet te vertrouwen te zijn? Ze hebben immers hun handtekening gezet onder de betrouwbaarheid van MCS, die overduidelijk heeft laten zien dat ze dat vertrouwen niet waard zijn en dus (in theorie, in een perfecte wereld) nooit een Intermediate certificaat hadden mogen krijgen.

Master_duck 2 april 2015 09:55

SSL staat al uit in mijn browser.

als je adware en Trojans wil hebben, vooral gebruiken dat ssl.
voor "veiligheid" kies je TLS 1.1 of hoger.

zelfs somige banken gebruiken nog ssl

voor hun verbinding.

Belgar @Master_duck • 2 april 2015 10:18

"Secure Socket Layer" als laag 5 protocol bevat ook TLS (transport layer security).

"SSL" als versie nummer wordt al 20 jaar niet meer gebruikt. Beetje verwarrend maar het zijn twee dingen. Het protocol en, origineel, als aanduiding voor de gebruikte versie.

Master_duck @Belgar • 2 april 2015 11:22

ja klopt, ze moeten dat ssl woord niet gebruiken. nergens goed voor. ze blokeren gewoon een CA. dus alle certificaten die die CA uitgegeven heeft kan binnen kort met chroom niet meer werken. Protocol staat daar dus daar buiten.

Lennie @Master_duck • 2 april 2015 14:15

Banken gebruiken het voor oude browsers waarschijnlijk.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (60)

Sorteer op:

Weergave: