Mozilla vertrouwt certificaten Chinese certificaatautoriteit Cnnic niet meer

Mozilla gaat in navolging van Google alle ssl-certificaten die zijn uitgegeven door Cnnic, de Chinese certificaatautoriteit, blokkeren in Firefox. Cnnic heeft zich volgens Mozilla schuldig gemaakt aan een 'flagrante schending' van zijn machtspositie met de uitgifte van valse Google-certificaten.

Volgens Mozilla is er na intern beraad en de nodige discussie op zijn forum besloten om certificaten die door Cnnic zijn uitgegeven na 1 april niet meer te accepteren in zijn Firefox-browser. Gebruikers die op een website komen met een dergelijk ssl-certificaat zullen een waarschuwing te zien krijgen.

Certificaten van Cnnic die voor 1 april zijn uitgegeven blijven, in ieder geval voorlopig, wel werken. Daarmee volgt Mozilla het voorbeeld van Google: de internetgigant deed donderdag alle Cnnic-certificaten in Chrome in de ban nadat bekend was geworden dat de certificaatautoriteit aan een Egyptische firma valse certificaten voor het Google-domein had verstrekt. Omdat deze certificaten ook door externe partijen misbruikt kunnen worden, bestaat het gevaar dat het ssl-certificaatsysteem ernstig wordt ondermijnd.

Mozilla laat weten dat er een mogelijkheid is dat Cnnic weer als betrouwbare partij gezien kan worden in de zogeheten root store als zij opnieuw een aanvraag indienen en zich conformeren aan de strenge regels die de browserbouwer oplegt. Ook is het mogelijk dat Mozilla nog additionele voorwaarden aan een terugkeer van Cnnic zal verbinden. Daarnaast stelt Mozilla dat het verdere stappen zal ondernemen tegen de Chinese certificaatautoriteit als er opnieuw valse ssl-certificaten op internet verschijnen en de browserbouwer eist dat Cnnic een lijst publiceert met alle ssl-certificaten die na 1 april zijn uitgegeven.

Door Dimitri Reijerman

Redacteur

Feedback • 03-04-2015 09:50
25 • submitter: _David_

03-04-2015 • 09:50

25

Submitter: _David_

Lees meer

Mozilla-ontwikkelaar wil ondersteuning voor http-verkeer uitfaseren
Mozilla-ontwikkelaar wil ondersteuning voor http-verkeer uitfaseren Nieuws van 14 april 2015
Mozilla brengt bètaversie Firefox 38 met reading list uit
Mozilla brengt bètaversie Firefox 38 met reading list uit Nieuws van 3 april 2015
Google blokkeert alle ssl-certificaten van Chinese certificaatautoriteit
Google blokkeert alle ssl-certificaten van Chinese certificaatautoriteit Nieuws van 2 april 2015
Egyptisch bedrijf gaf valse Google-certificaten uit
Egyptisch bedrijf gaf valse Google-certificaten uit Nieuws van 24 maart 2015
Meer producten en artikelen
Internet Politiek en recht Netwerk en systeembeheer Mozilla Firefox

Reacties (25)

-Moderatie-faq
25
23
15
2
1
0
Wijzig sortering
teacup 3 april 2015 12:36
Niet om CNNIC in verdediging te nemen, maar ik ben wel heel benieuwd naar een weerwoord van deze organisatie. Even alle vooroordelen over China negerend, hoe heeft dit kunnen gebeuren? Is de uitgifte van certificaten een formele CNNIC transactie geweest of is het een activiteit geweest van individuen binnen de CNNIC organisatie die daarmee misbruik hebben gemaakt van haar infrastructuur. Beide opties herstellen niet het vertrouwen in CNNIC als partij voor certificaatuitgifte, maar kan de werkelijkheid wel wat genuanceerder maken.

Een persverklaring van CNNIC is daarom belangrijk om te kunnen beoordelen hoezeer CNNIC zich dit aantrekt en actie gaat nemen om het risico op illegale uitgiftes te minimaliseren. Tenminste, wil CNNIC wereldwijd nog als een geloofwaardige partij beoordeeld worden. Net even op CNNIC site rondgekeken, maar kan niet iets vinden dat duidt op "nieuws" of "persverklaring". De organisatie maakt mooie statements, zoals haar Self-Discipline Convention, maar die lijken niet aan te sluiten op de huidige realiteit.
Jeroen_R @teacup3 april 2015 13:13
Er staat zowel een reactie over het uitgegeven certificaat aan MCS http://www1.cnnic.cn/AU/M...01503/t20150325_52019.htm, als ook een reactie op de revoke door google http://www1.cnnic.cn/AU/M...01504/t20150402_52049.htm
mhkool @teacup3 april 2015 17:20
Niet CNNIC maar China zal reageren. Ik verwacht dat er op korte termijn een Chinese browser komt. En dat die Chinese browser natuurlijk CNNIC wel in het lijstje van vertrouwde certificaat autoriteiten staat.
dasiro @mhkool3 april 2015 18:05
er is al een volledig chinees OS:red star OS dat op linux is gebaseerd, dus browsers zullen er ook al wel zijn
Phobophile @dasiro3 april 2015 21:07
Red Star OS is Noord-Koreaans.
Xorgye 3 april 2015 09:55
Alles draait om vertrouwen.
Maar als een werelddeel een ander zicht heeft op de inhoud van vertrouwen, dan ga je nat met iets als het internet wat overal in dezelfde vorm aanwezig is.

Misschien toch maar het internet minder open maken? Lost wel veel op :P
Krijgt elk land de tunnelvisie die het graag wil hebben.
unglaublich @Xorgye3 april 2015 09:57
Of van internet een eigen staat maken :P
Nieknikey @unglaublich3 april 2015 10:57
Deze hele discussie om Cnnic gaat NIET om China als land! Waarom worden discussies rondom Cnnic gekaapt door welles/nietes verhaaltjes om wat voor land China is :( Het heeft er werkelijk niets mee te maken.

Cnnic, een root-CA, heeft zich als onvertrouwelijk neergezet door garant te staan voor de vertrouwelijkheid van intermediate-CA MCS Holdings (dat Egyptische bedrijf waar het artikel over gaat).

MCS Holdings levert softwarepakketten waarmee werkgevers het verkeer van hun werknemer af kunnen tappen. Ook als een werknemer een vertrouwde HTTPS verbinding op wil stellen kan het softwarepakket van MCS een MITM uitvoeren.

Waarom kan dat? Om te begrijpen waarom dat kan is het handig om te weten waarom het normaal gesproken niet kan :) Een HTTPS verbinding bestaat uit twee delen encryptie:
  • Symmetrisch (AES)
  • Assymmetrisch (RSA)
De assymmetrische verbinding zorgt voor de sleuteluitwisseling van de symmetrische verbinding. Het probleem rondom encryptie van een verbinding is dat de identiteit van een apparaat op het internet (bijv een server) niet kan worden gegarandeerd. Daarvoor bestaat er zoiets als PKI. Een systeem dat d.m.v. certificaten een identiteit van een apparaat kan garanderen.

Deze certificaten moeten ondertekend worden door een Certificate Authority (CA) die vertrouwd is op de pc van de werknemer. Het probleem bij het uitvoeren van een MITM bij een HTTPS verbinding is dat de man in the middle geen ondertekend certificaat heeft. Hij kan dit zelf ondertekenen, maar zijn eigen certificaat wordt niet door het slachtoffer vertrouwd.

Voor het uitvoeren van een MITM heeft MCS dus een certificaat nodig dat vertrouwd is op alle werknemers hun computers/browsers. Daar zijn twee technische mogelijkheden voor:
1. MCS ondertekent zelf de certificaten. Deze certificaten worden niet by default vertrouwd door de werknemers. De werkgever zal dus de MCS certificaten moeten vertrouwen op de pc's van de werknemers.
2. MCS zoekt een root-CA die hun certificaten ondertekent.

Nummer 2 geeft aan wat er is gebeurd. Cnnic heeft de certificaten van MCS ondertekend waardoor het dus garant staat voor de integriteit van de certificaten van MCS.

De reden waarom er nu ophef is rondom Cnnic is omdat het certificaten heeft ondertekend die overal ter wereld ingezet kunnen worden. De certificaten van MCS worden namelijk ook op de pc's van U en mij vertrouwd. Als iemand het voor elkaar krijgt het softwarepakket van MCS te kraken en de private key in handen te krijgen... dan is het mogelijk om iedere HTTPS verbinding te onderscheppen zonder dat iemand het door heeft. Tenzij hij/zij de certificaten van Cnnic niet vertrouwt. En dat is wat Google en Mozilla nu hebben doorgevoerd.
looc @Nieknikey3 april 2015 11:54
Een beetje IT kan z'n eigen CA op zijn domain controller installeren en deze automatisch laten vertrouwen door client pc's. Op zich is zo'n pakket als dit helemaal niet nodig. Maarja, hoe weinig vertrouwen heb je in je werknemers als dit soort tactieken gebruikt moeten worden.

Nog steeds goed uitgelegd! :)
leuk_he @Nieknikey3 april 2015 14:42
Als het niet om landen gaat, waarom kwam trustwave wel weg met het enkel revoken van de intermediate CA?
Xorgye @Nieknikey3 april 2015 13:08
Nee dit heeft idd niets met China te maken. Of met Egypte. Of met Iran. Of met Noord-Korea.
Maar de regeringen in deze landen zoeken wel precies naar de root-CA's als dit bedrijf. En zo lang er vraag is zal er ingespeeld worden op een vraag.

De VS en Europa willen dit ook wel maar beseffen dat dit via een root-CA doen net iets te ver gaat en doen het op omslachtigere manieren.
En ze zullen daarom achter dit beleid van Google en Mozilla gaan staan. Want dan denkt het publiek dat ze veilig zijn ;-)
Nieknikey @Xorgye3 april 2015 13:51
Nee. Die CA's staan over het algemeen absoluut niet toe dat overheden hun certificaten gebruiken om af te tappen. Zodra dat naar buiten komt is het volledige vertrouwen in die CA's namelijk vervlogen, en zullen ze eindigen zoals DigiNotar.

Sterker nog. Wist je dat de Nederlandse Overheid haar eigen root-CA heeft/is? Deze heet PKIoverheid.
Xorgye @unglaublich3 april 2015 10:04
Het is heel goed dat Mozilla in navolging van Google de certificaten weert.
Want internet is een techniek, niet een mening. En die techniek valt of staat met een goede implementatie. Internet zelf kan geen waarden/normen afdwingen.

Wat dat betreft zou je er idd een staat van kunnen maken. Een soevereine vrijstaat.

Maar dat is t al wel een beetje. T westen heeft t internet en probeert t vrij te houden. Zie Europa en VS met de gehanteerde DNS strategie, of het verhaal van gelijkheid van behandeling van datapakketten.

En ja, waar een staat is ontstaat een grens. En waar grenzen zijn kan je ze overschrijden. In t geval van t overschrijden van een grens van een staat wordt dat oorlog genoemd. En hier is China de aanvaller ;-)
Maar dat zegt dus alles over dat China zich niet kan vinden in de grenzen van deze (vrij)staat.
fevenhuis @Xorgye3 april 2015 12:17
Google is zelf de zoekresultaten aan het filteren op "waarheid", oftewel volgens hun eigen mening (of beperkte visie).

Het internet is een reflectie van de de mening van de mensen.

Het probleem is dat men nou eenmaal haar eigen mening op anderen wil opdringen, dat is niets nieuws.

Al denk ik dat het in dit geval meer gaat om certificaten die verdacht worden van gebruikt te worden voor het opzetten van botnets voor cyberoorlogsvoering en/of cyberspionage.
mutley69 3 april 2015 19:07
Heb die van Comodo (daar was iets mee, weet niet meer wat), cnnic en die turk (die ook gerommeld heeft met google) er allemaal uitgegooid. Eens het vertrouwen weg is in een digitale handtekeningenmaker, moet ie er gewoon uit.
Geen genade qua security - dat moet het credo zijn.
N13ls96 4 april 2015 14:19
Ik meen dat een soortgelijk iets al is eerder bij Mozilla is gebeurt, een jaar of vijf geleden. Heb ik eigenlijk niets meer over gehoord, iemand?
Verwijderd 3 april 2015 09:54
Mooi, ik zit niet te wachten op de kans op Chineze MITM aanvallen.
Johan9711 @Verwijderd3 april 2015 10:05
Volgens mij had dit meer met een Egyptish bedrijf te maken. Naar wat ik begreep was er een bedrijf dat maakte software om medewerkers te monitoren, en dat deden ze met behulp van een vals Google certificaat. Dat certificaat bleek echter niet alleen in het bedrijf geldig te zijn, maar over het hele internet. Niets geen Chinese MITM aanvallen dus, maar Egyptische.
Seal64 @Johan97113 april 2015 13:08
Kan zijn, maar waar haalt dat Egyptische bedrijf dan dat valse certificaat vandaan?

Juist ja, Cnnic dus.
Verwijderd 3 april 2015 10:25
Dat is grappig. Ik had CNNIC al handmatig verwijderd uit mijn CA lijst in Firefox, nog voordat Google dat deed.
Verwijderd @Verwijderd3 april 2015 11:28
Hoe kwam je op het idee om dit op voorhand te doen?
Verwijderd @Verwijderd3 april 2015 11:45
Ik deed dit aan de hand van berichten dat CNNIC een vals certificaat had uitgebracht wat gebruikt kon worden voor MITM afluister praktijken. Ik vond dit misbruik en ondermijning van het CA systeem.
Verwijderd @Verwijderd3 april 2015 12:32
Ik had hem er om die reden ook al uit. En dat is eigenlijk een trieste constatering: kennelijk is misbruik pas belangrijk als het Google of een andere grote partij betreft.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq