Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 9 reacties
Submitter: Rafe

Het Chinese bedrijf Qihoo 360, de grootste aandeelhouder van de certificaatautoriteiten WoSign en StartCom, geeft aan een herstructurering van de bedrijven door te voeren. Dit is het gevolg van een onderzoek door Mozilla naar de door de autoriteiten uitgegeven certificaten.

In een reactie in een mailinglijst legt StartCom-oprichter Eddy Nigg uit dat er verschillende maatregelen zijn genomen. Zo zijn StartCom en WoSign uit elkaar gehaald, waarbij StartCom in de toekomst direct onder Qihoo 360 zal vallen. Alle samengevoegde functies van de bedrijven moeten zo uit elkaar gehaald worden, waaronder de ontwikkelingsteams en het management. Ook is WoSign-ceo Richard Wang uit zijn functie ontslagen, zo blijkt uit een uitgebreider rapport van WoSign.

Uit hetzelfde document blijkt dat WoSign 64 certificaten heeft uitgegeven waarop de datum is aangepast om de blokkering van sha-1-certificaten te omzeilen. WoSign laat verder weten dat het alle toekomstige en al uitgegeven certificaten zal publiceren op CT-servers. De veranderingen in de bedrijven moeten ertoe leiden dat 'WoSign en StartCom een bestuur hebben dat begrijpt op welke manier een certificaatautoriteit gerund moet worden en dat zich aan de geldende standaarden houdt'.

Mozilla begon een onderzoek naar de certificaatautoriteiten, omdat die verschillende fouten hebben gemaakt. Zo was het bijvoorbeeld mogelijk om certificaten aan te vragen voor een ander domein en gaf WoSign certificaten uit met de verouderde sha-1-hash. Mozilla gaf eind september aan de certificaten van de autoriteiten te blokkeren. Andere partijen volgden dit voorbeeld. Zo meldde onder andere Apple onlangs dat het de certificaten zou blokkeren.

Moderatie-faq Wijzig weergave

Reacties (9)

Ik vond dit wel zeer verhelderend, omtrent WoSign
https://www.youtube.com/watch?v=ooqglpbL3z4

Waarom zouden we ze nog vertrouwen?
Waarom zouden we ze nog vertrouwen?
Wat WoSign waarschijnlijk moet doen is opnieuw door de procedure heen om een CA certificaat in de vertrouwde stores te krijgen van verschillende softwareproducten. Bijvoorbeeld bij Mozilla is dit een complexe en langdurige procedure. Ook zal er opnieuw een audit moeten plaatsvinden, ditmaal niet door Ernst & Young Hong Kong, omdat die de vorige keer geen goede controle uitvoerde en daarom niet meer hiervoor wordt vertrouwd door Mozilla.

Jouw vraag moet je breder trekken: waarom worden bepaalde certificaatautoriteiten vertrouwd? Dat komt door de processen die zij moeten doorgaan voordat hun root certificaten worden opgenomen in de vertrouwde lijsten van softwareleveranciers.

[Reactie gewijzigd door The Zep Man op 11 oktober 2016 08:29]

Dit is een procedure, die ze al eens eerder door lopen hebben en na het behalen van goedkeuring / vertrouwen. Zijn ze andere dingen gaan doen, die niet volgens de regels zijn.

Waarom zou je zo'n partij dan nog vertrouwen? Omdat er een poppetje veranderd is?
Jouw vraag moet je breder trekken: waarom worden bepaalde certificaatautoriteiten vertrouwd?
Dit vind ik zowiezo een probleem, er staat 1001 in mijn CA store en welke is wel en welke is niet te vertrouwen. Ofwel, naar mijn persoonlijke mening, is het hele SSL gebeuren valse vorm van veiligheid naar de gebruiker toe.
> Waarom zou je zo'n partij dan nog vertrouwen? Omdat er een poppetje veranderd is?

Ja. Een heel belangrijk poppetje is veranderd: de auditor. De nieuwe CEO zal vast wel een vriendje zijn van de oude CEO, en moeten we inderdaad niet vertrouwen, maar een nieuwe auditor zal extra voorzichtig zijn. Ernst&Young HK hebben hun geloofwaardigheid verspeeld in dit debacle. Een nieuwe auditor zal een stuk kritischer zijn om hun hachje te redden.

WoSign moet zich opnieuw aanmelden voor een nieuwe CA acceptatie procedure - ieder detail zal opnieuw bekeken moeten worden, en dit keer weten we ook nog waar we naar moeten zoeken. Daar komt bij dat Mozilla extra eisen heeft gesteld, bovenop de standaard procedure. WoSign moet dus niet alleen een poppetje veranderen, ze moeten hun hele bedrijfsvoering omgooien om weer geaccepteerd te worden.

Extreem zwaar straffen (zoals een one-strike-and-you're-out systeem) wordt vaak gezien als de ideale oplossing, maar het werkt slecht in de praktijk. Het stimuleert verstoppen in plaats van verbeteren; een bedrijf dat een slechte interne procedure heeft, kan namelijk beter voorkomen dat het uitlekt, dan dat ze eerlijk zijn en het veranderen. Als een bedrijf (onder voorwaarden) weer terug kan komen na een strafbankje, dan is er in ieder geval nog ruimte voor verbetering. De regels moeten streng zijn, maar er moet altijd hoop zijn op herstel - dat is de wortel die dit soort bedrijven kan drijven.
Dit vind ik zowiezo een probleem, er staat 1001 in mijn CA store en welke is wel en welke is niet te vertrouwen. Ofwel, naar mijn persoonlijke mening, is het hele SSL gebeuren valse vorm van veiligheid naar de gebruiker toe.
Het CA systeem kent inderdaad enkele grote bezwaren, maar het is het enige dat we nu hebben dat grootschalig werkt. Pogingen om een SSL CA te bouwen op basis van een web-of-trust, zoals CAcert.org, blijven steken en ook andere systemen slagen er niet in draagkracht te vinden. Blijkbaar is het vertrouwen in het huidige proces nog voldoende hoog.

Ook al worden er fouten gemaakt (opzettelijk en per ongeluk), deze lijken telkens ontdekt te worden. Systemen als Certificate Transparency (CT), ook in deze post genoemd, helpen daar enorm bij, en browsermakers doen hun best om goed gedrag af te dwingen. De analyse over WoSign van Mozilla is een mooi voorbeeld van hoe misbruik gedetecteerd kan worden.

Daarnaast hoop ik dat technieken als DNSSEC en DANE breder ondersteund gaan worden in browsers. DANE om te zorgen dat het verstuurde certificaat matcht met datgene dat de domeineigenaar verwacht (zo stel ik bijv. op al mijn sites in dat mijn certificaten uitgegeven zijn door Let's Encrypt, via een TLSA-record in DNS, ). DNSSEC dient dan om ervoor te zorgen dat je de data die van van je DNS-resolver krijgt kunt vertrouwen. Helaas alleen ondersteund via plugins op dit moment. :(
Dat ze voortaan meedoen aan CT is vooruitgang maar ze hebben nog veel werk te verrichten voor ze weer ons vertrouwen verdienen. Vertrouwen komt te voet en gaat te paard. Het is heel hard maar dit vakgebied biedt weinig ruimte voor tweede kansen.
Ze worden behandeld als een nieuwe CA - dat wil zeggen, zonder enig vertrouwen. Erger nog: Mozilla heeft aanvullende voorwaarden gesteld, dus ze beginnen met een goeie dosis wantrouwen.

Ze zijn hoe dan ook voor 1 jaar geschorst, wat betekent dat veel klanten naar een ander moeten voor hun renewals. Omdat CA's zwakke klantenbinding hebben, zullen ze die klanten vast permanent kwijtraken. Ook heeft Mozilla gedreigd met een retroactieve distrust als ze nog een keer de fout in gaan, dus security-bewuste klanten zullen zich twee keer achter hun oren krabben voor ze weer met WoSign in zee gaan.

Zelfs als WoSign weer geaccepteerd wordt, zullen ze een kleine CA zijn. Hun grote business zijn ze kwijt, die zullen ze langzaam weer op moeten bouwen. Vertrouwen komt inderdaad te voet.
Toch wel jammer van startcom, daar heb ik nu al mijn certificaten. Ik ben bezig over te gaan naar letsecrypt. Nadeel van lets encrypt is vind ik dat je voor elk subdomein moet valideren, bij startcom hoefde ik mij alleen voor 't hoofd domein te valideren. Bij startcom kon je ook per cert een CN + volgens mij 4 SAN's er gratis bij. Heb laatst nog is goed rond gezocht bij alle CA's die ik ben tegen gekomen waar je voor je certs betaald kon je dat geen eens hetzelfde krijgen. Alleen wildcard of Multi domain SAN, of een single cert.
Bij Let's Encrypt kan je ook gewoon meerdere domeinen in 1x meegeven hoor (multi domain cert).

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True