Mozilla gaat certificaatautoriteit WoSign/StartCom straffen

Mozilla wil nieuwe ssl-certificaten van WoSign en StartCom gaan blokkeren. De certificaatautoriteiten hebben de afgelopen tijd tal van fouten gemaakt waardoor Mozilla geen vertrouwen meer heeft in het functioneren van WoSign en StartCom.

Mozilla wil WoSign en StartCom straffen door nieuwe certificaten van de partijen niet meer toe te voegen aan de lijst vertrouwde ssl-certificaten voor Firefox. Met deze maatregel wil Mozilla de initiële impact van de maatregel, die ten minste een jaar zou moeten duren, verminderen. Om zijn voorstel kracht bij te zetten, heeft Mozilla een grote analyse op Google Docs geplaatst.

In het verleden was het bijvoorbeeld mogelijk om certificaten via een systeem van WoSign aan te vragen zonder dat de aanvrager eigenaar van het betreffende domein was. Een dergelijk certificaat kan dan mogelijk voor een man-in-the-middle-aanval gebruikt worden.

Ook geeft WoSign nog certificaten uit die beveiligd zijn met de al jaren lang als onveilig bestempelde sha-1-hash. Alle grote browsers gaan sites met sha-1-certificaten blokkeren vanaf januari 2017. Mozilla beschouwde certificaten met sha-1 uitgegeven na 1 januari 2016 ook al als ongeldig, maar WoSign en StartCom antedateerden sha-1-certificaten uitgegeven na die datum.

De hele lijst van twaalf incidenten staat op Mozilla's Wiki-pagina 'WoSign Issues'. Een ander saillant detail is dat het Chinese WoSign het Israëlische StartCom dit jaar overnam zonder dit te melden. De overname werd op 19 september afgerond.

Mozilla zoekt met zijn berichtgeving hulp van anderen, onder andere om te helpen besluiten wanneer de uitsluiting ingaat. Ook zoekt Mozilla hulp bij het besluit of WoSign of StartCom nieuwe roots moet vervaardigen als ze aan een aantal voorwaarden voldoen, voordat ze opnieuw een aanvraag kunnen indienen om een vertrouwde certificaatauthoriteit te worden, schrijft The Register.

Door Krijn Soeteman

Freelanceredacteur

Feedback • 27-09-2016 19:58
51 • submitter: Rafe

27-09-2016 • 19:58

51 Linkedin

Submitter: Rafe

Lees meer

Certificaatautoriteit StartCom stopt vanwege verlies vertrouwen van browsers Nieuws van 20 november 2017
Windows 10 vertrouwt nieuwe WoSign-certificaten vanaf oktober niet meer Nieuws van 9 augustus 2017
Voormalig Firefox-ontwikkelaar: verwijder je antivirussoftware Nieuws van 1 februari 2017
Google begint eigen root-certificaatautoriteit Nieuws van 27 januari 2017
Symantec trekt onterecht uitgegeven certificaten in na melding Nieuws van 23 januari 2017
IE en Edge tonen vanaf februari waarschuwing bij sites met sha-1-hashing Nieuws van 21 november 2016
Mozilla vertrouwt nieuwe WoSign- en StartCom-certificaten niet Nieuws van 25 oktober 2016
Beveiligingsbedrijf komt met dienst om certificaten voor domeinen te controleren Nieuws van 18 oktober 2016
WoSign kondigt herstructurering aan en vervangt ceo na onderzoek Mozilla Nieuws van 10 oktober 2016
Firefox test nieuwe videofuncties en trackingbescherming in Test Pilot-programma Nieuws van 29 september 2016
Chrome gaat waarschuwingen tonen bij sites met sha-1-certificaten Nieuws van 21 december 2015
Meer producten en artikelen
Netwerk en systeembeheer Certificaat Certificering Ssl certificaat

Reacties (51)

-Moderatie-faq
51
50
33
4
0
6
Wijzig sortering
JohnKarma
28 september 2016 13:27
Certificaten werken natuurlijk op vertrouwen en waarom zou ik vertrouwen hebben in certificaten die mozilla naar alle waarschijnlijkheid gaat markeren als niet vertrouwd. Daarom heb ik de WoSign certificaten alvast verwijderd uit mijn systeem (ubuntu varianten).

Hoe?
In een terminal venster:

> sudo dpkg-reconfigure ca-certificates

WoSign en Startcom opzoeken en deselecteren, 5 stuks totaal. Daarna voor de zekerheid:

> sudo update-ca-certificates

probleem opgelost.
Koen1997
@JohnKarma28 september 2016 13:43
Werkt dit ook op CentOS?
JohnKarma
@Koen199728 september 2016 17:19
centos gebruikt een andere package manager dus dpkg werkt volgens mij niet
. Als ik /etc/ca-certificates.conf met de hand zou aanpassen dan zou ik een ! teken voor de regel met het certificaat zetten en daarna sudo update-ca-certificates draaien.

Wat ik zou doen eerst eens sudo update-ca-certificates draaien zonder iets aan te passen, als dat op centos ook werkt dan kan je kijken of en waar ca-certificates.conf op jou systeem zit. Dan kan je die aanpassen en dan de update-ca-certificates draaien. En anders even flink op internet zoeken "revoke system certificate centos" dan kom je vast ook ergens.

In bijvoorbeeld chrome en firefox browser kan je ook de trust vinkjes bij het certificate uitzetten mocht dat genoeg voor je zijn.
SBTweaker
27 september 2016 20:08
Iemand die uit kan leggen wat er mis is met de createSerialNumber functie in de doc, snap het niet helemaal. O+
Armin
@SBTweaker27 september 2016 20:27
Er is niets mis mee an-sich, alleen klopt die functie niet met de werkelijk uitgegeven certificaten. De werkelijk uitgegeven certifciaten hebben een bepaald patroon, wat op zich intersant is. Maar wat vooral belangrijk is, is dat de certifciaten van StartCom op een bepaald moment dezelfde eigenaardigheid kregen. Dat duidt erop dat StartCom toen overgenomen was.
Echter dat heeft WoSign niet gemeld en dat is in strijd met de transparantie regels. Je moet immers altijd weten wie welk certificaat authoriseerd. Dat veranderde op het moment van overname, maar werd niet gemeld.
elmuerte
@SBTweaker27 september 2016 20:23
Volgens Mozilla starten de serials van WoSing altijd met 0x1 tot 0x9. Niet met andere bytes. Het ontbreken van 0x0 is logisch gezien BigInteger.toString() geen leading nullen toevoegt, en met een minimale string lengte van 32 hex-tekens krijg je dus geen resultaten die beginnen met 0x0.
Maar ontbreken van 0xA tot 0xF is verdacht. SecureRandom van Java zou echt wel getallen opleveren die groter zijn dan 0x9FFFFFFFFFFFFFFF

[Reactie gewijzigd door elmuerte op 27 september 2016 20:34]

bdbfz
@elmuerte27 september 2016 20:50
De getallen hoeven niet groter te zijn dan 0x9FFFFFFFFFFFFFFF om te beginnen met 0xA tot 0xF, je geeft zelf aan dat er geen leading zeroes zijn. Hoe dan ook, een steekproef die faalt in zo'n basic spreidingstest, is gewoon niet random verdeeld over de beschikbare getalruimte. En dus cryptografisch zwakker gerandomiseerd dan je verwacht.
elmuerte
@bdbfz27 september 2016 21:01
Wel als toString(16).length() == 32 moet gelden.
Cypher87
@SBTweaker27 september 2016 20:23
Als ik het goed begrijp is de gegeven code (die in het document) niet de code die gebruikt is om voorheen de serial numbers te genereren. Het lijkt dus alsof WoSign niet eerlijk is geweest tegen Mozilla.

https://gist.github.com/g...b720c24a6907435ebde7a6678

Hier is de code te zien, maar dan gedocumenteerd door Mozilla.
elmuerte
27 september 2016 20:16
Gaat ook nog wel iets verder dan alleen WoSign en StartCom:
In addition, Mozilla will:
[...]
* no longer accept audits carried out by Ernst & Young (Hong Kong).
Armin
@elmuerte27 september 2016 20:57
Goed punt.

Leuk detail is verder dat de publieke website van WoSign een certificaat chain heeft die eindigd in een root-certificaat van StartCom. Echter blokker je die, en refresh je de webpagina blijkt er cross-signing te zijn en blijkt het WoSign root-certificaat eentje hoger in de chain zelf een root-CA te zijn. Ofwel WoSign's root-CA wordt ondertekend door StartCom's certificaat. Waarschijnlijk omdat veel westerse apparatuur standaard geen onderteuning voor WoSign hebben/hadden. Dit geeft ook aan waarom WoSign waarschijnlijk graag StartCom wilde hebben.

Wie dus WoSign geheel wil blokkeren kan het volgende doen:

- ga met IE of Edge naar https://www.wosign.com/english/ zodat het certifciaat gedownload wordt door Windows.
- start certlm (voor computer certificates, niet user/gebruiker)
- ga naar Trusted Root Certifiction Authorities.
- Zoek de beide StartCom certificaten en sleep ze naar "Untrusted Certificates -> Certificates".
- Sluit je browsers en certlm en ga opniew naar die webpagina pagina.
- Start certlm opnieuw ga naar Trusted Root Certifiction Authorities.
- Sleep het WoSign (staat bij de C, niet W :+ ) certificaat ook naar Untrusted.
- Sluit je browsers en certlm en ga opniew naar die webpagina. Nu krijg je een certifciaat error.

Dit beschermt op Windows zowel IE, Edge als Chrome als elke 3rd party app die de Windows TLS bibliotheek gebruikt.

Uiteraard besef wel dat dit alles van WoSign en ook alles van StartCom blokeerd, ook toen ze nog legitiem waren!

[Reactie gewijzigd door Armin op 27 september 2016 20:59]

wolkewietje
@Armin27 september 2016 22:28
Uiteraard besef wel dat dit alles van WoSign en ook alles van StartCom blokeerd, ook toen ze nog legitiem waren!
Legitiem of niet, zodra jij of wie dan ook een vertrouwen op dit niveau beschaamd hoor je niet meer in die lijst.
Bedankt voor je methode over hoe ze te verwijderen.
Atmosphere
@Armin27 september 2016 23:18
dat is een slimme actie, echter als het niet al uit staat is het ook een optie om SHA1 uit de proposals te halen.

even als voorbeeld (dus niet meteen beginnen te klussen): iis-forums - disable week cypher
Atmosphere
@Armin28 september 2016 00:47
Misschien handig als het niet goed gaat:
Start een command prompt op met de rechtermuiknop en kies voor uitvoeren als Administrator. Tik vervolgens certlm in op het commando prompt gevolgd door Enter/Return.

certmgr is voor de gebruiker en certlm local machine. Voor aanpassingen aan de 'machine' heb je wss 'admin-rechten' nodig.
s.stok
@Armin28 september 2016 13:24
En hier de uitleg voor Macos http://www.securitygenera...-certificate-in-mac-os-x/

Tip: selecteer alle StartCom certs zodat je niet voor allemaal apart je wachtwoord hoeft in te voeren.

[Reactie gewijzigd door s.stok op 28 september 2016 13:40]

Spectaculous
27 september 2016 20:01
Als je de boel bedonderd door te gaan antidateren dan mag je wat mij betreft uit de vertrouwde lijsten.

Het hele systeem werkt op basis ban vertrouwen, dat is al een fout op zich, maar dan kan je zulke rotte appels er niet tussen hebben.
Atmosphere
@Spectaculous27 september 2016 20:12
nou.. juist op controle .. juist niet op vertrouwen...

als je hier in NL een aantal certificaten aanvraagt krijg je in sommige gevallen gewoon iemand op bezoek ter verificatie.. Die controles zorgen voor het vertrouwen in de certificaat uitgevers en uiteindelijk het vertrouwen van consumenten in certificaten..

Door bewust onbetrouwbare certificaten uit te brengen brengt WoSign de betrouwbaarheid van de communicatie in gevaar en daarom heeft Mozilla deze actie terecht genomen. WoSign voldoet niet aan de afspraken maar frustreert ze bewust.

Was het maar vertrouwen zoals de DigiNotar affaire. De impact is technisch hetzelfde alleen laat WoSign bij mij een veel vuilere nasmaak achter.
locke960
@Atmosphere27 september 2016 20:57
Het systeem werkt wel degelijk op basis van vertrouwen. Namelijk het vertrouwen dat alle CA's de regels volgen, een goede bedrijfsvoering hebben, geen valse certificaten uitbrengen, goede controles uitvoeren bij de uitgifte van certificaten en altijd de integriteit van het systeem als geheel in acht nemen..

WoSign heeft die regels meermaals geschonden en daardoor het vertrouwen beschadigt. Niet alleen in WoSIgn, maar in het systeem als geheel.

Dat is waarschijnlijk wat Spectaculous bedoelt. Wat hij waarschijnlijk ook bedoelt is dat het systeem fundamenteel niet deugt omdat het op vertrouwen is gebaseerd. Aangezien er letterlijk duizenden bedrijven zijn die certificaten verkopen, en er altijd wel een paar rotte appels tussen zitten, kan het systeem gewoon niet veilig zijn.

Dat is ook waarom voor echt belangrijke zaken geen certificaten van CA's worden gekocht, er worden zelf gegeneerde certificaten gebruikt. Dan kan niemand anders een vals certificaat generen. Het lastige verspreiden van het eigen certificaat naar gebruikers of andere systemen wordt daarbij op de koop toegenomen. Kwestie van prioriteiten.

edit: nog een reden om aan de betrouwbaarheid van het systeem als geheel te twijfelen is dat er eerder CA's zijn geweest die twijfelachtige dingen hebben gedaan. Die heeft men echter niet hard af willen straffen.

[Reactie gewijzigd door locke960 op 27 september 2016 21:15]

Atmosphere
@locke96027 september 2016 22:30
mijn punt was meer de manier van handelen van deze CA. Borderline crimineel te noemen imho :+ O-)

De gemiddelde consument heeft geen idee wat CA's zijn, en daar wel het over collectief vertrouwen hebben, is het certificaat hierin het uitgangspunt: die kennen wel 'allemaal'. Het levert het groene slotje op in de browser.

Met de bewuste uitgifte van onveilige certificaten en zelfs het antidateren, werd het met dergelijke certificaten mogelijk om de transmissie over ssl bv volledig te decrypten.. Of bv als proxy ertussen te hangen zonder veel moeite om de versleuteling ongedaan te maken.

Ik vind dat weinig met vertrouwen te maken hebben. Eerder beschouw ik dit als een social-hack op het CA systeem..

Zeg jij meteen vertrouwen in je PC op als Bioshock HD crash?!?
ik neem aan van niet.. en zo mag je dit denk ik ook zien: het CA systeem werkt, zolang de CA'S inderdaad zich aan de afspraken houden. Lol het gebrek aan controle op de CA zelf kan je dan zien als gebrek aan vertrouwen in het systeem. Het werkt wel, alleen mag je geen partij hebben welke misschien een andere agenda heeft dan puur die controle uitvoeren. Daarnaast zijn het ook de browsers zelf die de SHA1 nog toestaan...
En ja certificaten worden voor veel meer dan alleen https gebruikt, echter de werking is gelijk. SHA1 zou eigenlijk niet meer mogenlijk moeten zijn

En ergens is de design-flaw ook goed te herleiden... diginotar bv, want wie controleerde de CA, en wie doet dat in China (welke graag versleutelde communicatie wil onderscheppen, en zo geven ze zichzelf natuurlijk wel erg makkelijk toegang :+ )
Een succesvoller verhaal is bv dan dat van RIPE wat ook niet echt een controlerend orgaan heeft maar wel 'goed' zijn ding doet.

Lol, maar als je toch bij je punt van vertrouwen wil blijven dan kan je stellen dat je geen vertrouwen in CA's hebt omdat deze in sommige gevallen eigenlijk geen CA zijn...

Ik vind het eigenlijk juist een positief punt dat Mozilla aan de bel trekt en meld dat de certificaten niet goed zijn, en zijn support intrekt. Er zal nu naar gekeken worden en veel andere browsers zullen volgen!
Want dat was de afspraak: Als je het protocol volgt sta je in de trusted list en anders in de untrusted, en dat is nu precies wat Mozilla doet.
Ik haal het net zelf even aan maar er hoeft geen slechte bedoeling te zijn van WoSign.
Mogelijk wettelijke verplichting waardoor ze niets anders uit mochten geven.
Ze worden nu internationaal niet meer als veilig geaccepteerd, omdat er een duidelijke case is dat ze zich niet aan die afspraken/richtlijnen houden.

StartCom overname zou in bovenstaande scenario een manier zijn om wel Internationale certificaten te kunnen verstrekken.
Maar voor harde straffen moet je internationaal wel heel hard kunnen maken dat er een motief en een echt feit is. Men moet dus aantonen dat er bewust gerommeld is met de certificaten, welke ook in het land van vestiging strafbaar moet zijn, enzovoorts.. Heel ander wespennest.

Echter denken ik dat Mozilla een hele goede indicatie heeft dat er meer dan alleen onkunde/onmacht speelde. China is in dat opzicht wss ook niet heel scheutig met informatie. Als ik dan ook kijk naar alle maatregelen die genomen zijn, zoals het uitsluiten van een auditeur, vind ik dat het gewoon heel goed opgepakt wordt..

Het schaad mijn vertrouwen in het certificaten systeem niet. Sterker nog het is zelfs gegroeid..
Wel wordt het duidelijk het systeem niet 100% waterdicht is tegen een 'sociale' aanval. De kring van root CA's was vervuild en WoSign is dus status als betrouwbaar kwijt. Dit naast de auditeur welke de aanvragede partij voor certificaten en CA-toelating moet toetsen.

Dat een site, welke gebruik maakt van onveilige certificaten, even verminderd bereikbaar is, is spijtig maar ook snel verholpen.
Dat je als site/service doorgaat met onveilige encryptie geeft meer te denken. Evenals gebruik ervan.

Niets weerhoud je er overigens van om zelf de certificaten toe te voegen aan de vertrouwde (en verwijderen uit untrusted) zodat je wel weer de valse hoop van veiligheid/privacy hebt

edit:
iets met toetsenbord mobiel, te veel tekst en autocorrect = 1k typos

[Reactie gewijzigd door Atmosphere op 28 september 2016 00:29]

Rafe
@Atmosphere28 september 2016 09:11
En ergens is de design-flaw ook goed te herleiden... diginotar bv, want wie controleerde de CA
Zo te zien PriceWaterhouseCoopers.

[Reactie gewijzigd door Rafe op 28 september 2016 09:15]

latka
@Atmosphere28 september 2016 09:19
De controle is zeer matig. Voor EV iets beter, maar ook dat is zeker niet foolproof. Iemannd op bezoek: al jaren niet meer gezien. Het is volledig cost driven vanuit de leveranciers, dus zolang er geen straf op staat zullen ze de kosten proberen te verlagen. Individuele gebruikers en hun vertrouwen in de CA is geen onderdeel van de discussie: mensen weten niet wat een CA is. Als CAs niet gewoon met grote regelmaat uit de trustlists vallen is er geen enkele reden voor hen om te doen waarvoor ze bestaan.
Het is dus een combinatie van vertrouwen en controle door de oa. Mozilla. Niet door de accountants/controleurs van de CA want die hebben geen enkel incentive om hun werk goed te doen.
brompot758
@latka28 september 2016 14:12
Ik heb zelf begin dit jaar voor mijn bedrijf de EV procedure doorlopen bij Startcom, en die is niet mals. Ze komen niet zelf langs uit Israel, maar je hebt er o.a. een legal opinion van een advocaat of notaris bij nodig waarin de advocaat of notaris duidelijk aangeeft hoe hij de identiteit van bedrijf en bestuurder, en de bevoegdheid van de bestuurder, heeft vastgesteld.

Voordat je überhaupt aan de EV procedure begint is er een uitgebreide controle van je identiteit door Startcom. Identiteitsbewijzen, je bank,...

Die controle zit wel snor bij Startcom denk ik.

Dat is ook niet het gedeelte waar Mozilla over valt bij Startcom, het gaat erom dat de feitelijke controle over Startcom over gegaan is in andere handen, dat dat niet gemeld is en dat de nieuwe eigenaar wel dubieuze dingen met certificaten gedaan heeft. En verder het vermoeden dat Startcom sinds december de certificaten uitgeeft via het systeem van het nieuwe moederbedrijf, of een kopie daarvan.
latka
@Atmosphere28 september 2016 09:27
Nog een reactie nadat ik de controverse had gelezen. Controle werkt niet, geven ze zelf eigenlijk ook al toe. In de reactie op de issues met het controle proces geeft WoSign aan:

"For BR auditor, I think this issue is too technical that fewer auditor can find out this problem. "

Met andere woorden: als het op papier goed gaat maar technisch helemaal mis dan is het te moeilijk voor een auditor. En ik had al niet heel veel vertrouwen in auditors ;-)
Jester-NL
@Atmosphere28 september 2016 12:17
als je hier in NL een aantal certificaten aanvraagt krijg je in sommige gevallen gewoon iemand op bezoek ter verificatie..
Ik doe best wel het een en ander met certificaten, maar van bezoekjes door de CA heb ik nog niet gehoord ;)
Nu kan dat natuurlijk zijn omdat ik niet met alle CA's zaken doe, maar 'Uw CA komt bij u langs' maakt een EV wel er-rug prijzig ;)
Atmosphere
@Jester-NL28 september 2016 12:30
Voor bv enkele KPN certificaten kan je een audit krijgen als voorbeeld.
Voor bv een SSL certificaat voor een webserver zal dit niet zo heel snel gebeuren.

Wel wil ik even een opmerking aanhalen welke hieronder gedaan is: Na de initiele audit zie je niemand meer. Dus nadat je 'goed gekeurd' bent kan je eigenlijk afwijken van de procedures zoals in de audit opgenomen.
ArtGod
@Spectaculous28 september 2016 11:25
Het CA systeem is ook een zwak systeem. Heeft de NSA ook niet een CA opgericht? Lijkt mij wel voor de hand liggen.
Jester-NL
@ArtGod28 september 2016 12:14
Is dat zo?
Om een vertrouwde CA op te richten, zal die lid moeten worden van het CAB-forum. Het overleg-orgaan tussen de Certificaat Autoriteiten en de diverse Browsers. Zonder de medewerking van die laatsten, wens ik je alle succes met je nieuwe CA.
Dat zie je hier ook... Mozilla (een van de B's) zegt het vertrouwen op in een (twee) van de aangesloten CA's.
Atmosphere
@Jester-NL28 september 2016 12:37
Eigenlijk toch 1 ;) ... Mozilla beschouwd StartCom als zelfde partij als WoSign.
Hiernaast is er een partij welke audit's uitvoerde aangegeven als onbetrouwbaar. Voor certificaten waar een audit bijhoort zullen audits van deze partij afgekeurd worden, met als gevolg dat er geen certificaat verstrekt wordt.

Je hebt wel gelijk wat betreft het opzetten van een CA zonder CAB-member te zijn. Dat gaat hem niet worden. Microsoft en third party browsers nemen jou certificaten standaard niet op in hun distributie, en dus zal 80% van de gebruikers een waarschuwing zien bij gebruik van het certificaat (namelijk dat de uitgever niet vertrouwd is)
ArtGod
@Jester-NL28 september 2016 14:26
Je kan het zo verbergen natuurlijk dat er geen directe banden zijn met de inlichtingendienst. En ik vind het helemaal niet zo ver gezocht als je over Project Azorian hebt gelezen. Het opzetten van 'shell companies' door de CIA en NSA is de gewoonste zaak in de wereld.
dantalion
27 september 2016 20:17
Lekker al mijn certificaten van Startcom naar letsencrypt omzetten, daar gaat mijn weekend..... :(
ShadowLord
@dantalion27 september 2016 21:07
Zou ik ook graag doen maar m'n NAS ondersteund letsencrypt niet (DSM 5, want te oud voor DSM 6). StartCom was hier dus perfect voor, maar als het nu een vage Chineese partij is geworden wordt ik daar ook niet blij van.
Hopelijk komt/is er nog een andere verstrekker die certificaten van een jaar kan uitgeven.
The Zep Man
@ShadowLord27 september 2016 21:21
Hopelijk komt/is er nog een andere verstrekker die certificaten van een jaar kan uitgeven.
Je kan al een certificaat krijgen voor minder dan 8 euro per jaar, betaling via iDEAL. Ga een avondje niet stappen en je kan van het bespaarde geld een certificaat voor drie jaar kopen en nog wat overhouden voor een paar biertjes thuis.

[Reactie gewijzigd door The Zep Man op 27 september 2016 21:30]

brompot758
@dantalion27 september 2016 21:25
Voor OV en EV certificaten is letsencrypt helaas geen alternatief.
Koen1997
@brompot75828 september 2016 08:57
Oh dan kan je simpelweg een goedkope aanbieden kiezen uit een lijst met tientallen, er zit altijd wel iemand tussen die jou uit de brand kan helpen.
Jester-NL
@brompot75828 september 2016 12:52
Met Kloentje (^^)
Er zijn meer dan zat alternatieven voor die certificaten... voor hetzelfde geld of minder, en zelfs met Nederlandse, telefonische ondersteuning... indien gewenst
Soldaatje
@dantalion27 september 2016 21:12
Afhankelijk van hoe lang je certificaat nog geldig is blijft je oude certificaat gewoon geldig.
Vernieuwen of nieuwe certificaten worden niet meer vertrouwd, als deze maatregel doorgevoerd wordt.

Goede zaak van Mozilla, en ik ga ervan uit dat ze steun zullen krijgen van alle andere browser-makers en belanghebbende partijen om deze maatregel uit te voeren.
dooiedodo
@dantalion27 september 2016 22:31
Net vanochtend mijn StartCom certificaat vernieuwd, dat er chinees achter zit ver in de chain, wat is dat voor risico eigenlijk?

1. nieuwe certificaat is sha256
2. niet antigedateerd
3. root certificate is van 2006

wat zullen mogelijke gevolgen zijn voor simpele prive https verbinding ?
sympa
@dantalion27 september 2016 20:35
Je hebt nog even de tijd toch? Kan ook door de week nog ;)
Fire69
@dantalion27 september 2016 20:37
Ik ben onlangs ook overgestapt van Startcom naar Letsencrypt, blijkbaar toch een goeie keuze geweest...
Gelukkig maar 1 domein/certificaat, was snel geregeld :P
CAPSLOCK2000
27 september 2016 21:38
Hopen dat de andere browsers ook mee gaan, dit soort straffen werken het beste als ze unaniem worden doorgevoerd. Als alleen Mozilla het doet dan levert dat de vervelende situatie op dat sites het niet doen onder Firefox maar wel onder andere browsers. Mensen denken dan dat er iets mis is met Firefox en stappen over...
sympa
@CAPSLOCK200027 september 2016 22:44
Of gebruikers van Firefox zien een gehackte onveilige site en gaan elders shoppen. Omzetdaling werkt heel effectief.
Koen1997
28 september 2016 09:24
Ik keek net even rond op de website. Ik kwam er achter dat de manier van garantie nogal versnipperd is.

Het eerste artikel beloofd 28 dagen geld-terug-garantie en het tweede artikel vind 30 dagen ook goed.

http://postimg.org/gallery/ocmtfubo/

Hierop vroeg ik antwoord via de live-chat, helaas negeren ze me.

[Reactie gewijzigd door Koen1997 op 28 september 2016 09:30]

Koen1997
27 september 2016 23:09
Onlangs heb ik toch gekozen voor Lets Encrypt voor privé projecten en betaalde certificaten voor publieke projecten. Want zeg nou zelf, een tientje is niks.
Knutselmaaster
28 september 2016 01:59
Nou das dan lekker!
Ik heb nogal wat moeite gehad om mijn hele site via ssl aan te kunnen bieden want het is lastige materie voor een autodidact.
En nu het eindelijk goed werkt gaat mozzarella mozilla startcom certificaten blokkeren :'(
Straks kan ik weer van voor af aan beginnen, sjongejonge.
Tijder
@Knutselmaaster28 september 2016 08:28
Gebruik gewoon letsencrypt.org. Als je het eenmaal werkend hebt gaat het zelf automatische de certificaten verlengen.
Knutselmaaster
@Tijder28 september 2016 09:44
Ja daar denk ik nu inderdaad over na.
Maar zoals je zegt, als je het eenmaal werkend hebt, en dat kost veel tijd.
En dan gaat straks Google/Opera/Microsoft/Mozilla of vul maar in straks besluiten dat zij vinden dat dat niet goed is en de boel blokkeren en dan ben je weer terug bij af...
Het is zaak voor sitebeheerders en gebruikers om te beslissen wat ze vertrouwen en gebruiken, niet aan een browsermaker vind ik.
Tijder
@Knutselmaaster28 september 2016 10:13
Dat zullen ze niet zo snel doen kijk maar eens bij de Major Sponsors.
Het werkend krijgen is best makkelijk. Kijk maar eens op deze site certbot.
Knutselmaaster
@Tijder29 september 2016 10:19
Nou, dat was inderdaad zo gepiept.
Het maken van de backup duurde veel langer dan het installeren van de extensie en het activeren van het letsencrypt certificaat.
Nogmaals bedankt voor je tip.
Knutselmaaster
@Tijder28 september 2016 12:41
Wo0o0ot!
Dat is wel een hele goeie link!
Ik kwam er daar dus achter dat het met een simpele plugin voor mijn webserver (ubuntu-plesk) met een paar muisklikken te doen is (zou moeten zijn)
Ik zal, als ik klaar ben met het maken van de pagina waar ik op het moment aan werk (en na een volledige back-up natuurlijk) gelijk eens uitproberen.
Alvast ontzettend bedankt, ik zal hier nog wel even reageren of het wel of niet gelukt is.
Jester-NL
@Knutselmaaster28 september 2016 12:58
Het vertrouwen is juist gebaseerd op wat een clubje goed geinformeerden vindt.
Het gaat niet alleen om een browsermaker. Het is nu een browsermaker die zijn vertrouwen opzegt.

Kijk nog even naar Diginotar. Er zijn zat mensen in Iran die nog met heel veel plezier vertrouwen willen hebben in die certificaten.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee