Google stelt volgend jaar Certificate Transparency voor Chrome verplicht

Vanaf oktober 2017 vertrouwt Google Chrome alleen nog certificaten van CA's die voldoen aan het Certificate Transparency-beleid. De basis van Certificate Transparency ligt bij openbare logs over het gebruik van certificaten, zodat misbruik snel gedetecteerd kan worden.

Google heeft zijn voornemen bekendgemaakt tijdens het CA/Browser Forum. Het ontwikkelteam van de browser gelooft dat het open ecosysteem rond Certificate Transparency ver genoeg ontwikkeld is om de eis voor ondersteuning over een jaar in te laten gaan.

Tls-certificaten voor websites die vanaf die maand uitgegeven worden, moeten Certificate Transparency ondersteunen. Certificaatautoriteiten moeten zorgen voor deze ondersteuning, waarvan de basis in de publieke logs ligt. De logs bevatten ketens van handtekeningen, zodat derde partijen inzage in de integriteit krijgen. Monitor-servers kunnen de logs periodiek opvragen om onvolkomenheden aan het licht te brengen en ook auditor-onderdelen van browsers kunnen de consistentie van de logs bijhouden.

Dit moet browserbouwers, website-eigenaren en andere partijen meer mogelijkheden geven om snel te reageren op problemen met certificaten. In het verleden hebben dergelijke problemen zich diverse keren voorgedaan, wat het vertrouwen in het certificaatsysteem heeft ondermijnd. Een van de bekendste voorbeelden betreft het Nederlandse bedrijf DigiNotar. Een hacker wist na een inbraak bij dit bedrijf honderden vervalste certificaten aan te maken. Kwaadaardige sites, zoals nepbanksites, kunnen hiermee de indruk wekken over een geldig tls/ssl-certificaat te beschikken en dus dat de verbinding versleuteld is, terwijl de verbinding in werkelijkheid gemonitord kan zijn.

Certificate Transparency

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 25-10-2016 15:52 49

25-10-2016 • 15:52

49

Lees meer

Google Chrome

geen prijs bekend

4.5 van 5 sterren
Google begint eigen root-certificaatautoriteit
Google begint eigen root-certificaatautoriteit Nieuws van 27 januari 2017
Rapport bekritiseert Microsoft om vertrouwen root-certificaat Thaise overheid
Rapport bekritiseert Microsoft om vertrouwen root-certificaat Thaise overheid Nieuws van 26 januari 2017
Symantec trekt onterecht uitgegeven certificaten in na melding
Symantec trekt onterecht uitgegeven certificaten in na melding Nieuws van 23 januari 2017
Google introduceert publiekesleutelproject voor verificatie accountgegevens
Google introduceert publiekesleutelproject voor verificatie accountgegevens Nieuws van 13 januari 2017
Google doet aanpassing aan Chrome die snelheid in Windows moet verbeteren
Google doet aanpassing aan Chrome die snelheid in Windows moet verbeteren Nieuws van 1 november 2016
Nederlands bedrijf ontdekt kwetsbaarheid voor uitgeven valse ssl-certificaten
Nederlands bedrijf ontdekt kwetsbaarheid voor uitgeven valse ssl-certificaten Nieuws van 30 juni 2016
Google blokkeert alle ssl-certificaten van Chinese certificaatautoriteit
Google blokkeert alle ssl-certificaten van Chinese certificaatautoriteit Nieuws van 2 april 2015
Google ontdekt valse ssl-certificaten voor Google-sites
Google ontdekt valse ssl-certificaten voor Google-sites Nieuws van 9 juli 2014
Certificaatautoriteit ANSSI verstrekte vals Google-certificaat
Certificaatautoriteit ANSSI verstrekte vals Google-certificaat Nieuws van 8 december 2013
Meer producten en artikelen
Browsers Google Chrome

Reacties (49)

-Moderatie-faq
49
49
21
1
0
10
Wijzig sortering
teunw 25 oktober 2016 15:55
Met deze verplichting komt er dus nog een melding die gebruikers gewoon wegklikken. :/
Niet dat ik een betere manier weet, maar ik verwacht dat het anders zou kunnen.
job_h @teunw25 oktober 2016 16:02
Certificate Transparency is een systeem waarmee gecheckt kan worden of een certificaat authority (CA) niet 'verkeerde' certificaten uit geeft, zodat er gecheckt kan worden of zo'n CA niet gehackt is of iets dergelijks.
Ik neem aan dat de eindgebruiker een pagina te zien krijgt die op de huidige "Your connection is not private" melding van Chrome lijkt als je naar een website surft waarvan het SSL certificaat geen Certificate Transparency heeft. Die melding klik ik in ieder geval veel minder snel weg dan de cookie meldingen :p

[Reactie gewijzigd door job_h op 22 juli 2024 16:00]

defixje @job_h25 oktober 2016 21:12
Nadeel hierbij is natuurlijk dat als Google vind dat een CA niet voldoet aan hun eisen, dat in de meest slechte situatie heel veel sites invalide lijken.

Ik vind dat niet Google maar een neutraal bedrijf deze verantwoordelijkheid op zich moet nemen.
hahaha2223 @defixje26 oktober 2016 06:58
Google heeft een van de grootste browsers, daarmee ook verantwoordelijkheid om de gebruikers veilig te houden. Als ze dat heel simpel in de browser kunnen doen door iets verplicht te stellen dan lijkt me dat geen probleem
526735 @hahaha222326 oktober 2016 09:23
Waarom zou Google de verantwoordelijkheid krijgen voor iets wat de gebruikers doen?
detheavn @52673526 oktober 2016 09:53
Google krijgt die verantwoordelijkheid niet. Google neemt die verantwoordelijkheid. Dat heeft er puur mee te maken dat ALS er iets gebeurt mensen niet (meer) kunnen wijzen naar Google dat het aan hun browser ligt. Het gaat daarin om de naam van je bedrijf.

Het is om dezelfde reden waarom er in sommige magnetron handleidingen staat vermeld dat het niet gebruikt moet worden om levende dieren af te drogen, of dat er op sommige bekertjes staat dat koffie heet is...
beany @teunw25 oktober 2016 15:58
Wegklikken is een keuze. De gebruiker heeft wel een waarschuwing gehad.

Dat mensen te stom zijn om de melding niet te snappen en gewoon doorklikken is niets tegen bestand.

De waarschuwing die Chrome tegenwoordig geeft dat een site niet veilig is (fel rode achtergrond) werkt bij mij in ieder geval wel. Ik navigeer per definitie niet door naar die sites. En mijn moeder die de rode achtergrond en waarschuwingtekst niet begrijpt/leest heb ik geen medelijden mee. Ik installeer haar PC niet opnieuw, mag ze iemand anders voor zoeken.

[Reactie gewijzigd door beany op 22 juli 2024 16:00]

Aeternum @beany25 oktober 2016 16:01
Da's te kort door de bocht! Welke normale internet gebruiker weet überhaupt wat certificaten zijn en wat het nut ervan is.... Buiten de it'ers om zijn dit er bijzonder weinig.
Blokker_1999
@Aeternum25 oktober 2016 16:16
Maar welke non ITer gaat zomaar grote waarschuwingen negeren en er van uitgaan dat het alsnog in orde zal zijn? Hoe ver moet men gaan dan?
ZpAz @Blokker_199925 oktober 2016 16:22
Vrijwel elke? Dit is een abstractie die niet aan de gebruiker gemeld moet worden. Niet veilig? Geen toegang, simpel. In welk scenario wil je wel naar een legitieme webpagina als gebruiker welke een niet geldig certificaat heeft? De enige die ik me kan bedenken is dat wanneer een site zijn zaakjes niet exact op orde heeft omtrent zijn beveiliging. Maar dat is dan een probleem van de website-eigenaar. Welke hij moet oplossen.
--Andre-- @ZpAz25 oktober 2016 17:27
M'n Fritzbox heeft bijvoorbeeld een self signed certificate, en die zou ik ook in de toekomst nog graag willen benaderen.
Dan0sz @--Andre--25 oktober 2016 17:43
Same here. Stommiteit is niets aan te doen. Zpaz pleit voor censuur, en dat is uiteraard van de zotte.
equit1986 @ZpAz25 oktober 2016 16:58
"niet veilig? Geen toegang, simpel." is censuur en dat mag ook niet :)
Brummetje @equit198625 oktober 2016 17:46
Censuur is informatie achterhouden. Dat is hier niet het geval want je kan er gewoon bij.
equit1986 @Brummetje26 oktober 2016 09:06
zaols ZpAz het zegt juist niet. Deze geeft aan gewoon te blokkeren bij een onveilig certificaat. Ipv de gebruiker de keus te geven.
Brummetje @equit198626 oktober 2016 10:56
Dus als jou sleutel van je huis niet goed is noem je dat ook censuur?
equit1986 @Brummetje26 oktober 2016 11:02
ik geloof niet dat wij op dezelfde golflengte zitten.
Laten we het er maar op houden dat hetgene wat ZpAz zegt niet kan/mag :)
Brummetje @equit198626 oktober 2016 11:43
Ik ga graag een discussie gewoon aan, onder het mom, heb ik ongelijk dan leer ik er wat van ;)

Stel het certificaat van de Rabobank is niet goed, dan kan de Rabobank 2 dingen doen.
  • Toch toegang geven, gaat er dan wat mis wie is dan aansprakelijk?
  • Geen toegang geven en de gebruiker contact oplaten nemen zodat het probleem opgelost kan worden[\li]
Optie 2 is niks mis mee en heeft natuurlijk niks met censuur te maken. Het is puur om er voor te zorgen dat iets wat veilig zou moeten zijn ook echt veilig is.
equit1986 @Brummetje26 oktober 2016 11:49
De wijze waarop ZpAz het aangeeft is dat niet de aanbieder maar de browser de toegang verbiedt bij een niet geldig certificaat zonder de gebruiker de optie te geven alsnog door te gaan naar de website.

Ja het geeft meer "veiligheid", maar dat is gewoon het opdringen van censuur van de browser naar de eindgebruiker. Hierdoor is het dus niet mogelijk voor de gebruiker om alsnog naar de website te gaan, willens en wetens dat het certificaat niet goed is.

Het is dus precies andersom, niet de aanbieder die iets verbied, maar het doorgeefluik.
Brummetje @equit198626 oktober 2016 12:03
Denk dat we beide anders over censuur denken zoals ik al eerder aangaf :)
CivLord @Blokker_199926 oktober 2016 09:27
Maar welke non ITer gaat zomaar grote waarschuwingen negeren en er van uitgaan dat het alsnog in orde zal zijn?
Zo'n beetje elke normale computergebruiker. Een computer toont zoveel vage, voor leken vaak onbegrijpelijke waarschuwingen en meldingen die zonder zichtbare consequenties weggeklikt kunnen worden, dat dat wegklikken tweede natuur is geworden.

Er zijn zoveel waarschuwingen waarbij er niets aan de hand is.
Wanneer ik bv. een programma als qTorrent wil downloaden geven zowel Edge als Avast een waarschuwing dat dat programma niet vaak gedownload wordt en dat het mogelijk onbetrouwbaar is. Ik heb vertrouwen in de bron (de officiële downloadpagina) en het programma, dus ik klik die melding weg.
Hetzelfde gebeurt wanneer ik een Office bestand vanuit de mail open. Ik krijg dan een waarschuwing, die ik wegklik omdat ik de bron vertrouw.
Zo krijgt zelfs iemand die weet waar hij mee bezig is zoveel meldingen voor zijn kiezen die weggeklikt kunnen worden, dat een reële bedreiging zomaar gemist kan worden. Ik denk dat van alle waarschuwingen en meldingen die ik krijg, hooguit een paar procent over reële dreigingen gaan die ik niet zonder problemen weg kan klikken.
leuk_he @Blokker_199926 oktober 2016 10:42
Welke keuzes heeft hij dan? Geen!

Als ik certificaat meldjngen krijg us dat 99van de 100 keer:
-hotspot inlog pagina die google.com redirect naar inlog pagina van hotspot
-geblockte paginas
-tijd op apparaat fout
-verlopen certificaat

Daar wil ik (tijdelijke) keuzes hebben, maar de melding/ui is nog steeds alles of niks.
larshack @beany25 oktober 2016 16:08
Ben het wel deels met je eens. Gebruikers die willens en wetens "omdat het irritant is en ik lees niet wat er staat" doorklikken ga je hier niet mee helpen. Helaas zijn er nog steeds mensen die zulke meldingen niet snappen en doorklikken.
Alex) @teunw25 oktober 2016 16:00
Een site kan afdwingen dat het certificaat geldig moet zijn (HSTS) en websiteeigenaren kunnen hun site op preloadlijsten laten zetten. Als een certificaat voor zo'n site vervolgens niet klopt kan een bezoeker niet doorgaan. Er is geen negeerknop.
Blokker_1999
@Alex)25 oktober 2016 16:14
HSTS dwingt het gebruik van SSL af maar heeft geen verificatie van het certificaat. Voordeel van HSTS is dan ook dat een browser niet eerst een onbeveiligde verbinding moet opzetten voordat deze een redirect maakt naar https maar direct https kan gebruiken zonder verdere tussenkomst van gebruiker of server
CEx @Blokker_199925 oktober 2016 16:20
HSTS verifiëerd wel degelijke de certificate chain in de SSL handshake. Echter doet dat op de huidige manier.
Blokker_1999
@CEx25 oktober 2016 16:45
Met andere woorden: De browser voert een normale verificatie uit die ook gebeurd zonder HSTS, bijgevolg is het niet HSTS die het afdwingt maar simpelweg de vraag voor een https pagina.
Alex) @Blokker_199925 oktober 2016 17:53
HSTS dwingt af dat de pagina via HTTPS wordt geserveerd, als het certificaat niet klopt weigert de browser de verbinding. Er wordt vervolgens geen "toch doorgaan"-knop geboden.
Anoniem: 378222 @Alex)25 oktober 2016 16:20
Volgens mij haal je HSTS en HPKP door elkaar.
R4gnax
@Anoniem: 37822225 oktober 2016 16:42
Volgens mij haal je HSTS en HPKP door elkaar.
HSTS doet het, wellicht afhankelijk van de browser implementatie, ook.
Gisteren nog meegemaakt in Firefox.

En inderdaad; je krijgt dan niet de mogelijkheid als eindgebruiker om een (al dan niet tijdelijke) uitzondering te maken en de site toch te bezoeken.

[Reactie gewijzigd door R4gnax op 22 juli 2024 16:00]

Anoniem: 378222 @R4gnax25 oktober 2016 16:48
Ai,dat is niet zo prettig.
Alex) @Anoniem: 37822225 oktober 2016 17:53
Nee hoor. De aanwijzigheid van HSTS zorgt ervoor dat browsers geen mogelijkheid meer bieden om certificaatwaarschuwingen te negeren.

HPKP is een verdere toevoeging: als het certificaat wél klopt, maar niet van de verwachte CA is, kan de verbinding alsnog worden geweigerd. Uitzondering op HPKP zijn helaas corporate proxies waarvan het rootcertificaat in de lokale trust-store staat, browsers laten die wél door.

[Reactie gewijzigd door Alex) op 22 juli 2024 16:00]

_Thanatos_ @teunw25 oktober 2016 16:18
Dat is beter dan de beslissing voor de gebruiker nemen. Het hele certficaten gedoe is al gebaseerd op het forceren van Google's (en Microsoft, en Apple en Mozilla, en...) vertrouwen op zijn gebruikers, wat feitelijk hetzelfde is als wantrouwen. Om dan een incorrect of "niet zo netjes" certificaat niet alsnog te kunnen besluiten te vetrouwen, gaan nog verder in tegen het basisconcept van vertrouwen.

M.a.w., Google wil niet de klootzak uithangen, maar nog een beetje doen alsof ze de good guy zijn.

[Reactie gewijzigd door _Thanatos_ op 22 juli 2024 16:00]

CAPSLOCK2000
@teunw25 oktober 2016 16:41
Met deze verplichting komt er dus nog een melding die gebruikers gewoon wegklikken. :/
Niet dat ik een betere manier weet, maar ik verwacht dat het anders zou kunnen.
Dit is niet gericht op gebruikers, zeker niet op gebruikers die niet om veiligheid geven. Dit is gericht op bedrijven/organisaties die SSL-certificaten gebruiken. Via CT kun je controleren dat niemand anders een certificaat bemachtigt met jouw naam er op.

De volgende keer dat je een certificaat koopt zorg er je er wel voor dat je certificaat wordt herkend door alle browsers. CA's die niet mee doen met CT raken zo vanzelf hun klanten kwijt.
Het is misschien niet helemaal zuiver maar grosso modo kun je wel stellen dat CA's die niet aan CT meedoen niet te vertrouwen zijn. De meeste CA's doen juist graag mee, het is in hun eigen belang. Wie niet mee wil doen is onmiddellijk verdacht.
Annihlator @teunw25 oktober 2016 16:59
Dat ligt niet aan het ontwerp vd browser, da's domweg het aloude pebcak-probleem. Het feit alleen al dat een programma je wat probeert te melden zou moeten activeren, waar dat niet gebeurt hadden ze al maanden/jaren geleden hand in eigen borst mogen steken en de rj-45 plug mogen uitsteken.
Juup @teunw25 oktober 2016 16:00
De oplossing is DANE imho.
Anoniem: 200498 @Juup25 oktober 2016 16:13
UnmunDANE
niqck @Juup25 oktober 2016 16:23
DE oplossing zou ik niet zeggen maar zeker EEN oplossing. Ik zou niet al mijn eieren in 1 korf leggen. DANE/TLSA wordt echter nauwelijks ondersteund. Je moet ook DNSSEC opzetten hiervoor anders is het ook nutteloos. En DNSSEC adaptatie komt ook maar traag op gang.
SSDtje 25 oktober 2016 16:19
En ik juich ook echt wel met je mee.
Mede aangezien ik ook niet zeg dat het slecht is.
Maar het hoogst waarschijnlijk door een bult mensen gewoon als vervelende pop-up wordt ervaren.
Al is dat laatste nog afwachten natuurlijk, maar goed.
Laat dit gewoon onzichtbaar ingaan, en het, wanneer het pas nodig is (als er dus iets niet in orde lijkt te zijn) er een melding van maken.

[Reactie gewijzigd door SSDtje op 22 juli 2024 16:00]

CAPSLOCK2000
@SSDtje25 oktober 2016 16:58
Volgens mij valt het allemaal wel mee. De meeste certificaten zullen gewoon geaccepteerd worden. Een handvol certificaten niet maar er zijn al tientallen andere redenen om een certificaat af te keuren. Een paar certificaten meer of minder die zo'n waarschuwing genereren gaat niet echt veel verschil maken.

Ik zie het probleem met het wegklikken van zo'n melding ook niet zo. Zonder die melding was de gebruiker ook naar die site geweest. Nu komt er in ieder geval nog een waarschuwing tussendoor. De gebruiker kan daar rekening mee houden. Niks doen helpt ook niet.
Laat dit gewoon onzichtbaar ingaan, en het, wanneer het pas nodig is (als er dus iets niet in orde lijkt te zijn) er een melding van maken.
Dat is ook hoe het werkt, je krijgt pas een melding als het niet klopt.

Er is al een paar jaar gexperimenteerd met deze technologie, Google weet nu al precies waar de problemen zitten en hoe groot die zijn. Ik denk dat hun inschatting is dat het bijna altijd goed gaat en dat ze het kunnen invoeren zonder dat de massa er iets van merkt. De laatste paar grote CA's die nog niet mee doen zijn nu gewaarschuwd dat ze vaart moeten maken.
SSDtje 25 oktober 2016 16:04
Kan aan mij liggen hoor.
Maar is dit niet gewoon weer een reden om geen Chrome als browser te gebruiken.
Niet dat het een slechte browser is ofzo, al ben ik er zelf geen gebruiker van.
Maar zoals teunwillems hierboven mij al aan geeft, heb ik ook zo'n vermoeden dat mensen dit gewoon domweg gaan zitten weg klikken, zonder te lezen :/

Edit: Typo

[Reactie gewijzigd door SSDtje op 22 juli 2024 16:00]

jeroenemeloen @SSDtje25 oktober 2016 16:10
Dus als je het toch weg klikt maakt het toch ook niet uit welke browser je gebruikt? Ik heb er liever een die me waarschuwt zonder blokkade dan een die niks doet. Of begrijp ik je punt verkeerd?
SSDtje @jeroenemeloen25 oktober 2016 16:15
"Dus als je het toch weg klikt maakt het toch ook niet uit welke browser je gebruikt?"

En dat is dan juist ook het hele punt wat ik ermee wil aanduiden.
Als mensen het toch gewoon stom weg klikken, wat heeft het dan voor zin.
Alleen voor ons "Tweakers" is dit iets goeds om te weten, en snappen het ook.
Waar de "normale" mensen er waarschijnlijk geen bal van zullen snappen.
Annihlator @SSDtje25 oktober 2016 17:01
Nee, nu kunnen we ondertussen reageren op de wijze die al jaren had gemoeten: "U heeft de melding weggeklikt, maar wel een probleem? Lijkt mij nogal tegenstrijdig."
Gopher @SSDtje25 oktober 2016 16:11
Houd je er rekening mee dat dit eigenlijk 0 invloed moet hebben op de gebruiker.

Tevens is het een voorstel, als alle certificatendraaiers hiermee akkoord gaan dan heb je dit probleem alleen als je daadwerkelijk op een website zit met ongeldige certificaten. Als je dat vervelend vind dan ben je raar.
South_Styler @SSDtje25 oktober 2016 16:12
Hoe staat "gewoon weer een reden om chrome niet te gebruiken" in verband met dat "mensen gaan zitten weg klikken zonder te lezen"?
Persoonlijk denk ik dat het een extra aanvulling op de reeds bestaande beveiligingen is. Ik juich dit soort initiatieven alleen maar toe, aangezien het internet niet heel erg veilig is.
Yggdrasil @SSDtje25 oktober 2016 18:09
De eindgebruiker krijgt hier helemaal niks van te zien! Het maakt je alleen maar veiliger, omdat malafide CA's zo gedetecteerd kunnen worden. Niet alleen in je browser, maar ook via systemen die de CT database raadplegen en zo signaleren dat een CA zich niet aan de regels houdt. Dat was altijd een van de zwakke punten in het PKI systeem. Zonder CT had Mozilla bijv. niet het recente misbruik door WoSign kunnen achterhalen. Ik begrijp dus niet waarom je dat als een minpunt zou zien.

CT is belangrijk genoeg dat je dit over niet al te lange tijd ook terug gaat zien in Firefox en andere browsers. Mozilla doet al mee aan het CT project. MS Edge gebruikt een vergelijkbaar systeem (Certificate Reputation) en het zou me niks verbazen als ze ook instappen in CT.

[Reactie gewijzigd door Yggdrasil op 22 juli 2024 16:00]

SSDtje 25 oktober 2016 18:51
"De eindgebruiker krijgt hier helemaal niks van te zien!"
Dat begreep ik eerder al uit de reactie van CAPSLOCK2000.
En maakte een hoop duidelijk.
Anyhow, ik ben benieuwd.
Ik gebruik ik zelf Firefox als browser, en zoals je zelf al aangeeft werkt Firefox hier inmiddels al aan mee.
Maar thx, voor alle info tho, dat is immers altijd welkom :)
aliencowfarm 26 oktober 2016 18:45
Hoe moet ik dit zien, dat iedereen zijn browser zijn gegevens naar derde partij stuur? Klinkt niet echt privacy vriendelijk...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq