Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 49 reacties

Vanaf oktober 2017 vertrouwt Google Chrome alleen nog certificaten van CA's die voldoen aan het Certificate Transparency-beleid. De basis van Certificate Transparency ligt bij openbare logs over het gebruik van certificaten, zodat misbruik snel gedetecteerd kan worden.

Google heeft zijn voornemen bekendgemaakt tijdens het CA/Browser Forum. Het ontwikkelteam van de browser gelooft dat het open ecosysteem rond Certificate Transparency ver genoeg ontwikkeld is om de eis voor ondersteuning over een jaar in te laten gaan.

Tls-certificaten voor websites die vanaf die maand uitgegeven worden, moeten Certificate Transparency ondersteunen. Certificaatautoriteiten moeten zorgen voor deze ondersteuning, waarvan de basis in de publieke logs ligt. De logs bevatten ketens van handtekeningen, zodat derde partijen inzage in de integriteit krijgen. Monitor-servers kunnen de logs periodiek opvragen om onvolkomenheden aan het licht te brengen en ook auditor-onderdelen van browsers kunnen de consistentie van de logs bijhouden.

Dit moet browserbouwers, website-eigenaren en andere partijen meer mogelijkheden geven om snel te reageren op problemen met certificaten. In het verleden hebben dergelijke problemen zich diverse keren voorgedaan, wat het vertrouwen in het certificaatsysteem heeft ondermijnd. Een van de bekendste voorbeelden betreft het Nederlandse bedrijf DigiNotar. Een hacker wist na een inbraak bij dit bedrijf honderden vervalste certificaten aan te maken. Kwaadaardige sites, zoals nepbanksites, kunnen hiermee de indruk wekken over een geldig tls/ssl-certificaat te beschikken en dus dat de verbinding versleuteld is, terwijl de verbinding in werkelijkheid gemonitord kan zijn.

Certificate Transparency

Moderatie-faq Wijzig weergave

Reacties (49)

Met deze verplichting komt er dus nog een melding die gebruikers gewoon wegklikken. :/
Niet dat ik een betere manier weet, maar ik verwacht dat het anders zou kunnen.
Certificate Transparency is een systeem waarmee gecheckt kan worden of een certificaat authority (CA) niet 'verkeerde' certificaten uit geeft, zodat er gecheckt kan worden of zo'n CA niet gehackt is of iets dergelijks.
Ik neem aan dat de eindgebruiker een pagina te zien krijgt die op de huidige "Your connection is not private" melding van Chrome lijkt als je naar een website surft waarvan het SSL certificaat geen Certificate Transparency heeft. Die melding klik ik in ieder geval veel minder snel weg dan de cookie meldingen :p

[Reactie gewijzigd door job_h op 25 oktober 2016 16:04]

Nadeel hierbij is natuurlijk dat als Google vind dat een CA niet voldoet aan hun eisen, dat in de meest slechte situatie heel veel sites invalide lijken.

Ik vind dat niet Google maar een neutraal bedrijf deze verantwoordelijkheid op zich moet nemen.
Google heeft een van de grootste browsers, daarmee ook verantwoordelijkheid om de gebruikers veilig te houden. Als ze dat heel simpel in de browser kunnen doen door iets verplicht te stellen dan lijkt me dat geen probleem
Waarom zou Google de verantwoordelijkheid krijgen voor iets wat de gebruikers doen?
Google krijgt die verantwoordelijkheid niet. Google neemt die verantwoordelijkheid. Dat heeft er puur mee te maken dat ALS er iets gebeurt mensen niet (meer) kunnen wijzen naar Google dat het aan hun browser ligt. Het gaat daarin om de naam van je bedrijf.

Het is om dezelfde reden waarom er in sommige magnetron handleidingen staat vermeld dat het niet gebruikt moet worden om levende dieren af te drogen, of dat er op sommige bekertjes staat dat koffie heet is...
Wegklikken is een keuze. De gebruiker heeft wel een waarschuwing gehad.

Dat mensen te stom zijn om de melding niet te snappen en gewoon doorklikken is niets tegen bestand.

De waarschuwing die Chrome tegenwoordig geeft dat een site niet veilig is (fel rode achtergrond) werkt bij mij in ieder geval wel. Ik navigeer per definitie niet door naar die sites. En mijn moeder die de rode achtergrond en waarschuwingtekst niet begrijpt/leest heb ik geen medelijden mee. Ik installeer haar PC niet opnieuw, mag ze iemand anders voor zoeken.

[Reactie gewijzigd door beany op 25 oktober 2016 16:00]

Da's te kort door de bocht! Welke normale internet gebruiker weet Łberhaupt wat certificaten zijn en wat het nut ervan is.... Buiten de it'ers om zijn dit er bijzonder weinig.
Maar welke non ITer gaat zomaar grote waarschuwingen negeren en er van uitgaan dat het alsnog in orde zal zijn? Hoe ver moet men gaan dan?
Vrijwel elke? Dit is een abstractie die niet aan de gebruiker gemeld moet worden. Niet veilig? Geen toegang, simpel. In welk scenario wil je wel naar een legitieme webpagina als gebruiker welke een niet geldig certificaat heeft? De enige die ik me kan bedenken is dat wanneer een site zijn zaakjes niet exact op orde heeft omtrent zijn beveiliging. Maar dat is dan een probleem van de website-eigenaar. Welke hij moet oplossen.
M'n Fritzbox heeft bijvoorbeeld een self signed certificate, en die zou ik ook in de toekomst nog graag willen benaderen.
Same here. Stommiteit is niets aan te doen. Zpaz pleit voor censuur, en dat is uiteraard van de zotte.
"niet veilig? Geen toegang, simpel." is censuur en dat mag ook niet :)
Censuur is informatie achterhouden. Dat is hier niet het geval want je kan er gewoon bij.
zaols ZpAz het zegt juist niet. Deze geeft aan gewoon te blokkeren bij een onveilig certificaat. Ipv de gebruiker de keus te geven.
Dus als jou sleutel van je huis niet goed is noem je dat ook censuur?
ik geloof niet dat wij op dezelfde golflengte zitten.
Laten we het er maar op houden dat hetgene wat ZpAz zegt niet kan/mag :)
Ik ga graag een discussie gewoon aan, onder het mom, heb ik ongelijk dan leer ik er wat van ;)

Stel het certificaat van de Rabobank is niet goed, dan kan de Rabobank 2 dingen doen.
  • Toch toegang geven, gaat er dan wat mis wie is dan aansprakelijk?
  • Geen toegang geven en de gebruiker contact oplaten nemen zodat het probleem opgelost kan worden[\li]
Optie 2 is niks mis mee en heeft natuurlijk niks met censuur te maken. Het is puur om er voor te zorgen dat iets wat veilig zou moeten zijn ook echt veilig is.
De wijze waarop ZpAz het aangeeft is dat niet de aanbieder maar de browser de toegang verbiedt bij een niet geldig certificaat zonder de gebruiker de optie te geven alsnog door te gaan naar de website.

Ja het geeft meer "veiligheid", maar dat is gewoon het opdringen van censuur van de browser naar de eindgebruiker. Hierdoor is het dus niet mogelijk voor de gebruiker om alsnog naar de website te gaan, willens en wetens dat het certificaat niet goed is.

Het is dus precies andersom, niet de aanbieder die iets verbied, maar het doorgeefluik.
Denk dat we beide anders over censuur denken zoals ik al eerder aangaf :)
Maar welke non ITer gaat zomaar grote waarschuwingen negeren en er van uitgaan dat het alsnog in orde zal zijn?
Zo'n beetje elke normale computergebruiker. Een computer toont zoveel vage, voor leken vaak onbegrijpelijke waarschuwingen en meldingen die zonder zichtbare consequenties weggeklikt kunnen worden, dat dat wegklikken tweede natuur is geworden.

Er zijn zoveel waarschuwingen waarbij er niets aan de hand is.
Wanneer ik bv. een programma als qTorrent wil downloaden geven zowel Edge als Avast een waarschuwing dat dat programma niet vaak gedownload wordt en dat het mogelijk onbetrouwbaar is. Ik heb vertrouwen in de bron (de officiŽle downloadpagina) en het programma, dus ik klik die melding weg.
Hetzelfde gebeurt wanneer ik een Office bestand vanuit de mail open. Ik krijg dan een waarschuwing, die ik wegklik omdat ik de bron vertrouw.
Zo krijgt zelfs iemand die weet waar hij mee bezig is zoveel meldingen voor zijn kiezen die weggeklikt kunnen worden, dat een reŽle bedreiging zomaar gemist kan worden. Ik denk dat van alle waarschuwingen en meldingen die ik krijg, hooguit een paar procent over reŽle dreigingen gaan die ik niet zonder problemen weg kan klikken.
Welke keuzes heeft hij dan? Geen!

Als ik certificaat meldjngen krijg us dat 99van de 100 keer:
-hotspot inlog pagina die google.com redirect naar inlog pagina van hotspot
-geblockte paginas
-tijd op apparaat fout
-verlopen certificaat

Daar wil ik (tijdelijke) keuzes hebben, maar de melding/ui is nog steeds alles of niks.
Ben het wel deels met je eens. Gebruikers die willens en wetens "omdat het irritant is en ik lees niet wat er staat" doorklikken ga je hier niet mee helpen. Helaas zijn er nog steeds mensen die zulke meldingen niet snappen en doorklikken.
Een site kan afdwingen dat het certificaat geldig moet zijn (HSTS) en websiteeigenaren kunnen hun site op preloadlijsten laten zetten. Als een certificaat voor zo'n site vervolgens niet klopt kan een bezoeker niet doorgaan. Er is geen negeerknop.
HSTS dwingt het gebruik van SSL af maar heeft geen verificatie van het certificaat. Voordeel van HSTS is dan ook dat een browser niet eerst een onbeveiligde verbinding moet opzetten voordat deze een redirect maakt naar https maar direct https kan gebruiken zonder verdere tussenkomst van gebruiker of server
HSTS verifiŽerd wel degelijke de certificate chain in de SSL handshake. Echter doet dat op de huidige manier.
Met andere woorden: De browser voert een normale verificatie uit die ook gebeurd zonder HSTS, bijgevolg is het niet HSTS die het afdwingt maar simpelweg de vraag voor een https pagina.
HSTS dwingt af dat de pagina via HTTPS wordt geserveerd, als het certificaat niet klopt weigert de browser de verbinding. Er wordt vervolgens geen "toch doorgaan"-knop geboden.
Volgens mij haal je HSTS en HPKP door elkaar.
Volgens mij haal je HSTS en HPKP door elkaar.
HSTS doet het, wellicht afhankelijk van de browser implementatie, ook.
Gisteren nog meegemaakt in Firefox.

En inderdaad; je krijgt dan niet de mogelijkheid als eindgebruiker om een (al dan niet tijdelijke) uitzondering te maken en de site toch te bezoeken.

[Reactie gewijzigd door R4gnax op 25 oktober 2016 16:43]

Ai,dat is niet zo prettig.
Nee hoor. De aanwijzigheid van HSTS zorgt ervoor dat browsers geen mogelijkheid meer bieden om certificaatwaarschuwingen te negeren.

HPKP is een verdere toevoeging: als het certificaat wťl klopt, maar niet van de verwachte CA is, kan de verbinding alsnog worden geweigerd. Uitzondering op HPKP zijn helaas corporate proxies waarvan het rootcertificaat in de lokale trust-store staat, browsers laten die wťl door.

[Reactie gewijzigd door Alex) op 25 oktober 2016 17:55]

Dat is beter dan de beslissing voor de gebruiker nemen. Het hele certficaten gedoe is al gebaseerd op het forceren van Google's (en Microsoft, en Apple en Mozilla, en...) vertrouwen op zijn gebruikers, wat feitelijk hetzelfde is als wantrouwen. Om dan een incorrect of "niet zo netjes" certificaat niet alsnog te kunnen besluiten te vetrouwen, gaan nog verder in tegen het basisconcept van vertrouwen.

M.a.w., Google wil niet de klootzak uithangen, maar nog een beetje doen alsof ze de good guy zijn.

[Reactie gewijzigd door _Thanatos_ op 25 oktober 2016 16:19]

Met deze verplichting komt er dus nog een melding die gebruikers gewoon wegklikken. :/
Niet dat ik een betere manier weet, maar ik verwacht dat het anders zou kunnen.
Dit is niet gericht op gebruikers, zeker niet op gebruikers die niet om veiligheid geven. Dit is gericht op bedrijven/organisaties die SSL-certificaten gebruiken. Via CT kun je controleren dat niemand anders een certificaat bemachtigt met jouw naam er op.

De volgende keer dat je een certificaat koopt zorg er je er wel voor dat je certificaat wordt herkend door alle browsers. CA's die niet mee doen met CT raken zo vanzelf hun klanten kwijt.
Het is misschien niet helemaal zuiver maar grosso modo kun je wel stellen dat CA's die niet aan CT meedoen niet te vertrouwen zijn. De meeste CA's doen juist graag mee, het is in hun eigen belang. Wie niet mee wil doen is onmiddellijk verdacht.
Dat ligt niet aan het ontwerp vd browser, da's domweg het aloude pebcak-probleem. Het feit alleen al dat een programma je wat probeert te melden zou moeten activeren, waar dat niet gebeurt hadden ze al maanden/jaren geleden hand in eigen borst mogen steken en de rj-45 plug mogen uitsteken.
De oplossing is DANE imho.
DE oplossing zou ik niet zeggen maar zeker EEN oplossing. Ik zou niet al mijn eieren in 1 korf leggen. DANE/TLSA wordt echter nauwelijks ondersteund. Je moet ook DNSSEC opzetten hiervoor anders is het ook nutteloos. En DNSSEC adaptatie komt ook maar traag op gang.
En ik juich ook echt wel met je mee.
Mede aangezien ik ook niet zeg dat het slecht is.
Maar het hoogst waarschijnlijk door een bult mensen gewoon als vervelende pop-up wordt ervaren.
Al is dat laatste nog afwachten natuurlijk, maar goed.
Laat dit gewoon onzichtbaar ingaan, en het, wanneer het pas nodig is (als er dus iets niet in orde lijkt te zijn) er een melding van maken.

[Reactie gewijzigd door SSDtje op 25 oktober 2016 16:29]

Volgens mij valt het allemaal wel mee. De meeste certificaten zullen gewoon geaccepteerd worden. Een handvol certificaten niet maar er zijn al tientallen andere redenen om een certificaat af te keuren. Een paar certificaten meer of minder die zo'n waarschuwing genereren gaat niet echt veel verschil maken.

Ik zie het probleem met het wegklikken van zo'n melding ook niet zo. Zonder die melding was de gebruiker ook naar die site geweest. Nu komt er in ieder geval nog een waarschuwing tussendoor. De gebruiker kan daar rekening mee houden. Niks doen helpt ook niet.
Laat dit gewoon onzichtbaar ingaan, en het, wanneer het pas nodig is (als er dus iets niet in orde lijkt te zijn) er een melding van maken.
Dat is ook hoe het werkt, je krijgt pas een melding als het niet klopt.

Er is al een paar jaar gexperimenteerd met deze technologie, Google weet nu al precies waar de problemen zitten en hoe groot die zijn. Ik denk dat hun inschatting is dat het bijna altijd goed gaat en dat ze het kunnen invoeren zonder dat de massa er iets van merkt. De laatste paar grote CA's die nog niet mee doen zijn nu gewaarschuwd dat ze vaart moeten maken.
Kan aan mij liggen hoor.
Maar is dit niet gewoon weer een reden om geen Chrome als browser te gebruiken.
Niet dat het een slechte browser is ofzo, al ben ik er zelf geen gebruiker van.
Maar zoals teunwillems hierboven mij al aan geeft, heb ik ook zo'n vermoeden dat mensen dit gewoon domweg gaan zitten weg klikken, zonder te lezen :/

Edit: Typo

[Reactie gewijzigd door SSDtje op 25 oktober 2016 16:09]

Dus als je het toch weg klikt maakt het toch ook niet uit welke browser je gebruikt? Ik heb er liever een die me waarschuwt zonder blokkade dan een die niks doet. Of begrijp ik je punt verkeerd?
"Dus als je het toch weg klikt maakt het toch ook niet uit welke browser je gebruikt?"

En dat is dan juist ook het hele punt wat ik ermee wil aanduiden.
Als mensen het toch gewoon stom weg klikken, wat heeft het dan voor zin.
Alleen voor ons "Tweakers" is dit iets goeds om te weten, en snappen het ook.
Waar de "normale" mensen er waarschijnlijk geen bal van zullen snappen.
Nee, nu kunnen we ondertussen reageren op de wijze die al jaren had gemoeten: "U heeft de melding weggeklikt, maar wel een probleem? Lijkt mij nogal tegenstrijdig."
Houd je er rekening mee dat dit eigenlijk 0 invloed moet hebben op de gebruiker.

Tevens is het een voorstel, als alle certificatendraaiers hiermee akkoord gaan dan heb je dit probleem alleen als je daadwerkelijk op een website zit met ongeldige certificaten. Als je dat vervelend vind dan ben je raar.
Hoe staat "gewoon weer een reden om chrome niet te gebruiken" in verband met dat "mensen gaan zitten weg klikken zonder te lezen"?
Persoonlijk denk ik dat het een extra aanvulling op de reeds bestaande beveiligingen is. Ik juich dit soort initiatieven alleen maar toe, aangezien het internet niet heel erg veilig is.
De eindgebruiker krijgt hier helemaal niks van te zien! Het maakt je alleen maar veiliger, omdat malafide CA's zo gedetecteerd kunnen worden. Niet alleen in je browser, maar ook via systemen die de CT database raadplegen en zo signaleren dat een CA zich niet aan de regels houdt. Dat was altijd een van de zwakke punten in het PKI systeem. Zonder CT had Mozilla bijv. niet het recente misbruik door WoSign kunnen achterhalen. Ik begrijp dus niet waarom je dat als een minpunt zou zien.

CT is belangrijk genoeg dat je dit over niet al te lange tijd ook terug gaat zien in Firefox en andere browsers. Mozilla doet al mee aan het CT project. MS Edge gebruikt een vergelijkbaar systeem (Certificate Reputation) en het zou me niks verbazen als ze ook instappen in CT.

[Reactie gewijzigd door Yggdrasil op 25 oktober 2016 18:13]

"De eindgebruiker krijgt hier helemaal niks van te zien!"
Dat begreep ik eerder al uit de reactie van CAPSLOCK2000.
En maakte een hoop duidelijk.
Anyhow, ik ben benieuwd.
Ik gebruik ik zelf Firefox als browser, en zoals je zelf al aangeeft werkt Firefox hier inmiddels al aan mee.
Maar thx, voor alle info tho, dat is immers altijd welkom :)
Hoe moet ik dit zien, dat iedereen zijn browser zijn gegevens naar derde partij stuur? Klinkt niet echt privacy vriendelijk...

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True