Google verliest vertrouwen in Symantec-certificaten - update

Google heeft scherpe kritiek geuit op de handelwijze van Symantec Corporation bij het verstrekken van certificaten. Het bedrijf gaat het vertrouwen van Chrome in oude ssl-certificaten van Symantec afbouwen en de geldigheidsperiode van nieuwe verkorten.

Sinds 19 januari doet Google onderzoek naar problemen bij de uitgifte van certificaten door Symantec. Aanvankelijk betrof het onderzoek 127 certificaten, maar door verklaringen van Symantec is dat aantal uitgebreid tot minstens 30.000 certificaten.

Symantec heeft in strijd gehandeld met de principes die zijn verankerd in Chrome's Root Certificate-beleid en daarmee Chrome-gebruikers aan risico's blootgesteld, claimt Google. De toegang tot Symantecs certificaatinfrastructuur door vier partners van het bedrijf zou hebben geleid tot uitgifteproblemen en ook zou het beveiligingsbedrijf onvoldoende toezicht hebben gehouden. Daarnaast zou het bedrijf laks hebben gereageerd op bewijzen van de problemen.

In antwoord daarop gaat Google het vertrouwen in de certificaten door Chrome afbouwen. Chrome 59 beschouwt Symantec-certificaten van 33 maanden oud nog als valide, bij versie 62 is dat bijvoorbeeld nog maar 15 maanden, terwijl de laatste versie, Chrome 64, een geldigheidsperiode van 9 maanden hanteert. Van alle nieuw uitgegeven Symantec-certificaten is de maximale periode voor validiteit op 9 maanden gezet. De maatregel maakt dat veel certificaten opnieuw gevalideerd en vervangen moeten worden.

Om direct het vertrouwen bij alle browserversies op te zeggen achtte Google nog een stap te ver. In januari 2015 was 30 procent van alle valide certificaten afkomstig van Symantec. Inmiddels zal dat percentage gedaald zijn volgens Google, maar het direct opzeggen van het vertrouwen zou tot veel compatibiliteitsproblemen zorgen. Inderdaad lijkt het percentage nu eerder rond 15 procent te liggen.

De aanleiding van het onderzoek lag bij het intrekken van onterecht uitgegeven certificaten door Symantec in januari. Volgens het bedrijf lag de oorzaak bij een van zijn 'vertrouwde partners', die dus toegang had tot de infrastructuur van Symantec.

Update 18.00: Google schrapt eveneens de extended validation-status die door certificate authorities van Symantec zijn uitgegeven. Deze status zorgt ervoor dat browsers prominent tonen dat de eigenaar van een domein geverifieerd is. Chrome zal deze extra garantie dus niet meer weergeven. Inmiddels heeft Symantec een reactie gegeven over de stappen van Google. Ars Technica publiceert deze. Het beveiligingsbedrijf claimt niet op de hoogte te zijn gebracht over de besluiten: "We maakten pas kennis met Googles voorstellen toen het ze op zijn blog zetten. De mededeling was onverwacht en de voorgestelde besluiten zijn onverantwoordelijk. Onze ssl/tls-certificaatklanten moeten weten dat dit geen handeling van hen vergt op dit moment."

Door Olaf van Miltenburg

Nieuwscoördinator

24-03-2017 • 10:50

71

Submitter: vanbroup

Reacties (71)

71
65
46
14
2
9
Wijzig sortering
Ik mis in het artikel dat alle "EV" certificaten per direct worden gedowngrade naar domein verificatie.

EV certificaten zijn degene waar je naast een groen icoon ook de naam van het bedrijf ziet, zoals bijvoorbeeld alle banken gebruiken. Als je nu dus naar je bank gaat en die heeft een symantic certificaat krijg je nu standaard je groene icoontje maar de naam van je bank is weg. Validatie dat de site die je bezoekt ook werkelijk van de geclaimde uitgever is is dus niet meer mogelijk.

Eigenlijk is dit nog wel de grootste klap. Een domein certificaat kun je gratis krijgen bij let's encrypt, maar de EV certificaten kosten bedrijven tot duizenden euro's per stuk en die zijn dus per direct waardeloos in chrome.
Viel inderdaad op dat zowel ING als ABN AMRO hier op Chrome inderdaad geen EV meer hebben.
Van ING zie: http://imgur.com/a/H8Y9j

Ben erg benieuwd hoe snel deze banken dit omgezet kunnen hebben naar een andere CA.
Ik heb net gekeken. Ik gebruik ook versie 57.0.2987.110 (64-bit) van chrome. Ik zie echter gewoon een EV certificaat, echter niet van Symantec maar van Entrust volgens mijn snelle research is dit geen onderdeel van elkaar dus het is of snel opgelost of dat heeft bij jou een andere oorzaak.

zie: http://i.imgur.com/A3A4jNl.png

EDIT: Het is dus bij ING al opgelost maar bij ABN nog niet, die gebruiken inderdaad gewoon nog Symantec.

[Reactie gewijzigd door jugger naut op 23 juli 2024 03:58]

Zo te zien gebruiken ze voor hun hoofdsite certs van Symantec, maar voor mijn.ing.nl en de rest van internetbankieren certs van Entrust.
Dat verklaart het verschil.
Moeten ze wel eentje vinden waar je echt op kan bouwen, en daar zijn er niet zo heel veel van, en sommigen ervan wil je als bank misschien wel niet mee worden geassocieerd..
Vergeet ook niet dat Symantec niet alleen onder de naam Symantec een registrar is.
Er is een handje vol bekende groten die allemaal eigendom zijn van Symantec.
Ik snap niet helemaal wat dan de waarde van andere soorten certificaten zijn als je daar EV voor moet hebben? En maakt het überhaupt veel uit, zolang een gebruiker een groen iets ziet verwacht je dat het vaak wel goed zit. Tenminste ik heb nooit nagedacht over meerwaarde van de naam te zien in het groene slotje.

Wat is dus echt het verschil?!

Edit: ik zie dat Google bijvoorbeeld zelf ook geen EV gebruikt!

[Reactie gewijzigd door Slechdt op 23 juli 2024 03:58]

EV certificaten mogen alleen uitgegeven worden als de uitgever (symantec in dit geval) persoonlijk heeft vastgesteld dat de aanvrager is wie die zegt dat die is. (checken KvK gegevens, delegatie autorisatie van de aanvrager checken, naamrecht checken, DNS gegevens checken, etc.)

-Een domein-certificaat garandeert dat je veilig met het opgegeven domein communiceert. niet dat het domein an sich veilig is.
-Een extended validation (EV) certificaat garandeert dat je veilig met het opgegeven domein communiceert EN dat het opgegeven domein is van de organisatie die het claimed te zijn.

En hier ging het fout. Symantec controleert niet persoonlijk de aanvraag, maar via een andere partij. Dit mag INDIEN de andere partij voldoet aan dezelfde regels waar de CA aan moet voldoen. Dit moet je ook kunnen bewijzen. Symantec heeft 30000 EV's uit laten geven door een aantal specifieke 3de partijen maar kan niet bewijzen dat deze partijen zich houden aan de regels omdat Symantec dat niet controleert.
Aanvulling:

Extended Validation garandeer dat de exploitant van de website een 'legal entity' is. Daarom worden soms bij validatie ook zaken als de energie rekening gevraagd.
Ik mis in het artikel dat alle "EV" certificaten per direct worden gedowngrade naar domein verificatie.

Is dat enkel het groen balkje of gaat Google in hun browser nu de verplichte revocation-check ook achterwege laten? Immers Google heeft - en staat alleen in de industrie betreft die mening - besloten geen revocation checks meer te doen in Chrome anders dan hun eigen lijst. Je kunt dat via de policy editor voor bedrijven wel weer aanzeten.

Echter voot EV-certificaten moet Google het wel doen, want het is onderdeel van de standaard. Het zou jammer zijn als men nu voor deze 'gedowngrade' klassificaties nu ook deze extra client-check achterwege laat. Immers juist als er twijfels zijn over de CA, is er - theoretisch - kans dat er certificaten aan het licht komen die mogelijk ingetrokken moetenw orden.

En ook los daarvan, is de kans heel reeel dat Symantec certificaten nu opnieuw uitgegeven moeten worden, en de oude dan dus - juist ja - ingetrokken worden. Tenzij Google die dan allemaal gaat toevoegen aan hun eigen revocation-lijst is de kans op misbruik daar dus groter.
Waarom zijn er hier zovelen die hier met een vinger naar Google wijzen? De fout ligt bij Symantec en het is niet de eerste keer dat ze het verprutsen.

Of het systeem van CA's goed of slecht is laat ik even in het midden, maar Google doet hier niets fout. Symantec heeft genoeg tijd gehad om hun zaken in orde te krijgen en dat hebben ze nagelaten. Ik zou er ook niet van op kijken als Mozilla en Microsoft hier binnenkort in mee gaan.

Even voor de duidelijkheid: Symantec heeft in het verleden certificaten uitgegeven voor domeinen van onder andere Google, maar niet voor Google. Voor derden dus.
Er ligt een fout by Symantec, maar om nu ineens, maanden later, het vertrouwen in twijfel te trekken is ook maar vreemd. Daarnaast kan je je ook vragen stellen bij de getroffen maatregelen door Google.

Ook hier was de kwestie dat niet Symantec maar een reseller de certificaten heeft uitgegeven. Wat Symantec hier te verwijten valt is dat hun audits niet hebben opgemerkt dat de reseller fouten maakt.

Ik zou zelf graag zien dat een onafhankelijk orgaan naar dit soort problemen kijkt en adviseerd of het vertrouwen bewaard moet worden of niet.

Stel ik heb een certificaat van Symantec dat een jaar oud is en nog een jaar geldig is. Nu gaat Google mij verplichten een nieuw certificaat te kopen wil ik mijn bezoekers nog goed kunnen bereiken als zij gebruik maken van Chrome. En als je 1 cert hebt dan is die kost nog te overzien maar je zal maar tientallen tot honderden certificaten hebben in zo een situatie.
Quote: "Stel ik heb een certificaat van Symantec dat een jaar oud is en nog een jaar geldig is. Nu gaat Google mij verplichten een nieuw certificaat te kopen wil ik mijn bezoekers nog goed kunnen bereiken als zij gebruik maken van Chrome. En als je 1 cert hebt dan is die kost nog te overzien maar je zal maar tientallen tot honderden certificaten hebben in zo een situatie."

Google kan jou natuurlijk niet verplichten om een nieuw certificaat te kopen en dat is ook niet de bedoeling. Een eenvoudige oplossing voor dit probleem zou zijn dat Symantec kosteloos heruitgiftes van certificaten aanbiedt. Problem solved. Het kan natuurlijk best zijn dat Symantec dan de validatieprocedures opnieuw dient uit te voeren, wat geld kost.

Het probleem ligt echter volledig bij Symantec. De maatregelen die Google nu treft zijn natuurlijk niet bij iedereen populair, maar eigenlijk is dit al een compromis.

Als een CA (meermaals) niet juist handelt en geen duidelijk en betrouwbaar plan voor verbetering aanlevert kan deze éigenlijk in zijn volledigheid niet meer vertrouwt worden (denk aan DigiNotar). Daarmee wordt de e-veiligheid van (potentieel) alle aardbewoners in het geding gebracht. En dat is een afweging die Google nu maakt door het vertrouwen te beperken.

De vraag is wat dit voor gevolgen heeft voor de houdbaarheid van Symantec als CA, het is voor velen waarschijnlijk een goede reden om over te stappen.
De vraag is wat dit voor gevolgen heeft voor de houdbaarheid van Symantec als CA, het is voor velen waarschijnlijk een goede reden om over te stappen.

Als CA is dit waarschijnlijk het einde of in ieder geval een enorme dreun. In dat licht is de keuze van Google overigens wel te bekritiseren. Immers het gaat niet enkel om nieuwe certifciaten, maar ook bestaande. Je stimuleert zo mensen over te stappen, iets wat je als Google niet zou moeten doen.

Nu geeft Google ook wel toe dat er geen direct gevaar is, omdat er eigenlijk geen aanwijzingen zijn dat de certificaten die uitgegeven zijn daadwerkelijk frauduloos zijn. Er was immers geen controle op de controle, maar die laatste controle was er wel altijd. Mij lijkt dus logischer om nieuwe certifciaten aan te pakken totdat men bewezen heeft dat het beleid gewijzigd heeft.

Als iets onveilig is dan trek je het in. Dat kan echter niet want dan zou Chrome niet meer werken voor 30% van het internet en men zichzelf in de voet zetten. Google Chrome zo per direct als browser 'exit' zijn en Edge en Firefox als duo-poly introduceren (in het westen).

Dus het compromis is dus volledig in het voordeel van Google. Men heeft het maximaal schadelijke gedaan voor Symantec, terwijl de schade voor Google zo min mogelijk gehouden werd. Dat is het compromis, niet het compromis tussen schade voor Symantec beperken en veiligheid maximaliseren. Wellicht is dat terrecht, maar Google maakt hier wel de keuze de CA tak van Symantec maximaal schade toe te brengen.
De vraag is wat dit voor gevolgen heeft voor de houdbaarheid van Symantec als CA, het is voor velen waarschijnlijk een goede reden om over te stappen.
De beurskoers van Symantec reageert er nauwelijks op...
Je moet dit niet als een losstaand iets zien. Symantec heeft al enkele jaren keer op keer van dit soort dingen laten gebeuren. Google heeft al veel langer geleden laten blijken dat Symantec hun vertrouwen terug moest winnen. Blijkbaar is Google niet tevreden met de maatregelen die ze naar aanleiding van dit laatste incident hebben getroffen (of willen treffen), dus wat moet je dan als maker van de meest gebruikte browser ter wereld?

Geef je ze het voordeel van de twijfel omdat ze toch een grote naam hebben, met het risico dat je gebruikers in de nabije toekomst wellicht wederom valse certificaten voorgeschoteld krijgen? Of geef je ze wat in feite een fikse tik op de vingers is?

Google heeft het vertrouwen niet helemaal opgegeven. Zolang je certificaat maximaal 33 maanden oud is (komt neer op afgegeven in Juni 2014 - niet lang voordat deze perikelen begonnen ;)), zal het blijven werken - de meeste mensen verlengen gewoon jaarlijks, dus dat is niet zo'n probleem. Ik gok ook dat Google gekeken heeft naar de gemiddelde leeftijd van Symantec certificaten. Met deze stap laat Google echter wel merken dat Symantec nu echt werk moet maken van hun beveiliging en audits, zonder daarbij hun (die van Symantec) klanten meteen te duperen. Symantec heeft nu wederom tijd gekregen om zaken op orde te stellen en als ze dat ook daadwerkelijk doen gok ik dat Google dit hele gedoe ook zo weer terug draait :)
Ineens is het niet echt
Since January 19, the Google Chrome team has been investigating a series of failures by Symantec Corporation to properly validate certificates.
bron: https://groups.google.com.../eUAKwjihhBs/rpxMXjZHCQAJ

[Reactie gewijzigd door jeabakker op 23 juli 2024 03:58]

Nu gaat Google mij verplichten een nieuw certificaat te kopen wil ik mijn bezoekers nog goed kunnen bereiken als zij gebruik maken van Chrome.

Ik voorspel dat er ook gewoon veel bedrijfswebsites zullen besluiten geen Chrome te ondersteunen.

Andersom kun je als externe dienst ook iets als Cloudflare of Akamai gaan gebruiken. Immers die diensten accepteren jouw certificaat nog wel, en gebruiken op hun proxies hun eigen.

Ik ben het overigens wel met je eens, dat ik het een wat stevige zet vindt. Maar Google heeft dan ook weinig zakelijke banden met de bedrijfswereld en kan dit dus ook makkelijker doen. Maar ze hadden het ook enkel voor nieuwe certificaten kunnen doen. Zeker omdat er expliciet geen sprake is van verdenking van foute certificaten, maar 'enkel' gebrekkige controle. Dat is als CA zijnde onaanvaardbaar, maar om dat met terugwerkende kracht certificaten gaan aantasten is nogal dubieus.
Ze hadden ook de Diginotar methode kunnen hanteren. Dit geeft al aan dat het hele gedoe met centraal gekeurde certificaten nauwelijks beter is dan een systeem waarbij iedereen gewoon een self-signed certificaat gebruikt.
Ze hadden ook de Diginotar methode kunnen hanteren

Juist niet want dan zouden 30% van alle certifciaten opeens niet meer geaccepteerd worden. En op bijvoorbeeld Android kan de CA-database niet eens geupdate worden, en heb je dus een groot probleem.
Blokkeer je ziet dit verkeerd.

Jij schrijft dat je je nu verplicht voelt om nieuwe certificaten te kopen voor nog goed bereikbaar te zijn voor je klanten...
D bedoeling van een certificaat is niet technisch van aard, het is niet om goed bereikbaar te zijn.

Het dient voor veiligheid te garanderen, of interesseert dat aspect je dan niet?
Dit geldt dus voor alle 'merken' certificaten van Symantec, zoals VeriSign, GeoTrust en Thawte. Daarnaast trekt het de weergave van Extended Validation certificaten in. In Chrome geeft dat normaal gesproken de bedrijfsnaam naast het groene slotje.
Ik zie in de nieuwe versie van Chrome nog steeds mijn GeoTrust EV certficaat zoals eerst (met naam). Bij ING die een Symantec certificaat hebben zie ik dat niet meer.
Bij GeoTrust worden wij bij EV certificaten altijd gevalideerd tot op persoonsniveau, dus lijkt mij sterk dat deze certificaten als onveilig worden beschouwd.
En die bedrijven waren ook nooit goedkoop met certificaten. Dit lijkt me wel veel impact hebben, wbt de verspreiding maar ook voor de bedrijven zelf.
Symantec heeft geen goede reputatie waar het certififcaten betreft: https://arstechnica.com/s...s-certificate-for-google/
https://arstechnica.com/s...-an-offer-it-cant-refuse/
Bijna 1,5 jaar later is het blijkbaar niks verbeterd. In een business gebaseerd op vertrouwen is dat niet heel slim.
Ik snap dat CA's moeten voldoen aan de gestelde eisen en het vertrouwen waar moeten kunnen maken, maar ergens bekruipt mij toch het gevoel dat in deze Google (en andere grote browserbouwers) de macht hebben om heel veel bedrijven de nek om te draaien.
Omdat het certificatensysteem is gebaseerd op vertrouwen, is het van het grootste belang om de procedures omtrent de uitgifte regelmatig tegen het licht te houden. Indien afwijkingen worden geconstateerd, dan zal daar naar gehandeld moeten worden om het certificatensysteem te beschermen.

Een andere CA waarbij de procedures en systemen diverse problemen vertoonden was DigiNotar https://nl.wikipedia.org/wiki/DigiNotar. We weten allemaal hoe dat is afgelopen.
Anoniem: 105188 @resma24 maart 2017 14:02
Inderdaad, wat dat betreft heeft Symantec het geluk dat ze een grote markt speler zijn en ook een stukje legacy internet ondersteunen. Als je tussen de lijntjes door leest dan zie je dat Google hun liever kwijt is dan rijk, maar goed dat gaat niet want dan loop je tegen andere problemen aan.
Nee het is geen toeval, maar het is niet de aanleiding, het is het gevolg.

1) google geeft ontzettend veel geld uit aan certificaten bij andere bedrijven
2) De nep-google certificaten waar het originele dispuut om begon was de 4de (publieke) keer dat een CA klanten van google in gevaar bracht.

Met een eigen CA besparen ze een enorme hoop geld en kunnen ze google domeinen via certificate-pinning aan hun eigen CA hangen zodat niemand behalve google nog een certificaat voor een google domein uit kan geven (tenminste niet ongemerkt)
Of is dit het gevolg vanwege dat Symantec zo slecht functioneerd? Ik denk dat mensen die hier wat meer mee bekend zijn hier iets over kunnen zeggen. Ik kan me zelf goed voorstellen als Google ziet dat certificaten veelal problemen hebben dat ze zit dan liever zelf doen. Uiteindelijk hangt de veiligheid van eindgebruikers hier sterk vanaf. Niet alleen dat, eindgebruikers zijn eerder geneigd om te klagen over Chrome ondanks dat de schuld elders ligt.
Of google ziet het is een leuke markt, daar is wat te verdienen, wij hebben met chrome nu een leuk marktaandeel en kunnen zo scoren.

Ik vraag me bij google sterk af of eerlijkheid wel achter alle beslissingen zit. Ik twijfel daar sterk aan.
Je laat dan echter wel het feit dat de fouten (en aanleiding voor het dispuut) origineel zijn gevonden door Mozilla (firefox) aan de kant.

Het enige waar je Google echt op kan aanvallen is de zwaarte van de sancties. Een langzame afbouw van vertrouwen na een grace period van bijna 3 jaar(!) waarin Symantec alle kans heeft gekregen om de problemen te herstellen.

Het is niet de vraag OF symantec schuldig is. Er is ook geen twijfel dat Symantec aantoonbaar de problemen niet heeft aangepakt. Dat is namelijk allemaal onafhankelijk vastgesteld door derde partijen.

Blijft de zwaarte van van de straf over en die is gezien ze wat ze met andere partijen hebben gedaan die valselijk google certificaten uitgeven mild en redelijk te noemen

[Reactie gewijzigd door Belgar op 23 juli 2024 03:58]

Je geeft het al aan de straf.

google is aanklager en rechter op 1 stoel. Dat is nooit gezond.
Dat is een punt. Echter heeft Symantec zich vrijwillig aangemeld voor het root-CA programma van chrome en de andere browsers en zich verbonden verklaard met de voorwaarden (die bekend en openbaar zijn).

Rechter is slechts deels waar, omdat de tekortkomingen openbaar en transparant zijn vastgesteld door onafhankelijke derde partijen. Elke straf minder dan volledige directe verwijdering, volgens de regels van het programma, kun je gewoon redelijk noemen.

Je zou hoogstens kunnen stellen dat google misbruik maakt van de fouten die Symantec maakt. echter.... :

Quiz: toen google en de andere browsers Diginotar tot de grond toe afbrandden, welk bedrijf stond vooraan om de klanten over te nemen? (Hint: het was niet Google)
Als google ook zelf certificaten aanbied, hebben ze de schijn erg tegen.
Als google certificaten PUBLIEK aanbied heb je een punt, echter volgens het oprichtingscertificaat:

"The Google Internet Authority may issue end­entity Certificates only to the following organizations: Google and Google Affiliates."

Good luck om dus zelf een certificaat te krijgen.

En zelfs al zouden ze wel certificaten verkopen, zolang via een publieke en geaccepteerde methode is aangetoond dat een verkoper de regels heeft geschonden en de basisstraf volledige en directe verwijdering uit het programma is heb ik geen probleem mee dat dit gebeurd.
Ja, Google is een leidende partij in het verbeteren van de wereldwijde TLS/SSL infrastructuur en is een grootverbruiker van certificaten. Zoals meerdere mensen al hebben aangegeven is het CA systeem gebaseerd op vertrouwen. Het zou een negatief effect hebben als Google zichzelf gaat promoten door anderen te saboteren. Fouten van CA's hebben al vaker geleid tot beperkingen door browser-bouwers, ook voordat Google een CA kocht.
Dat gevoel krijg ik ook van dit bericht: Google vind X niet leuk dus geeft Google X een mindere behandelingen.
Als je de onderbouwing leest (en de met opzet publiek gevoerde communicaties met Symantec) dan is er wel degelijk grond voor actie.
Anoniem: 20901 @Caayn24 maart 2017 11:20
Ehm, ja, precies. En dat, en precies dat, is de basis van het hele certificaat systeem. Als je niet leuk meedoet lig je er zo uit.
Het hele CA systeem is gebaseerd op bedrijven die elkaar vertrouwen. Dat is altijd al zo geweest en dat is ook de grootste zwakte van het systeem. Volgens mij kan Google in deze niets anders dan dit doen als ze het vertrouwen in Symantec niet meer hebben.
Indien Google de enige is die het vertrouwen opzegt dan zal men inderdaad met de vinger naar Google gaan wijzen. Sowieso niet leuk voor alle gebruikers die geldige certs hebben waarvan Google ze niet vertrouwd.

Maar je mag ook niet vergeten dat heel het CA systeem op vertrouwen gebouwd is. Is het vertrouwen geschaad wordt het altijd moeilijk om te overleven.
Het hele certificaten systeem is gebaseerd op vertrouwen, Google controlleerd dit en heeft ernstige fouten geconstateerd bij Symantec. Vandaar dat ze dit doen, andere browsers zullen vast snel volgen
Dit is inderdaad een probleem, en daarom is er DANE bedacht waarbij SSL certificaat controle via DNS kan plaatsvinden. Dat werkt goed als het domein met DNSSEC is beveiligd.

Helaas heeft Google al aangegeven DANE niet te gaan ondersteunen voor websites, omdat de controle via DNS te traag zou zijn. Dat is wel echt een kwalijke zaak, want we moeten echt van CA's af.
Ik snap dat CA's moeten voldoen aan de gestelde eisen en het vertrouwen waar moeten kunnen maken, maar ergens bekruipt mij toch het gevoel dat in deze Google (en andere grote browserbouwers) de macht hebben om heel veel bedrijven de nek om te draaien.
Dat klopt wel zo'n beetje en het is een van de zwakken punten van het CA systeem.
Het hele model achter de CA's is wat dat betreft zwak. Het idee is dat er een paar centrale punten zijn die iedereen maar moet vertrouwen, en in praktijk bepalen de browserbouwers welke dat zijn.

Vertrouwen is echter nogal contextgevoelig. Een Chinese ambtenaar zal heel anders over vertrouwen denken een Colombiaanse drugsdealer of een Italiaanse hipster.

Ik denk niet dat we het CA systeem helemaal kunnen afbreken, maar ik denk dat we er veel te afhankelijk van zijn geworden. Tegenwoordig zijn er alternatieven (bv DANE) zodat we over andere oplossingen kunnen nadenken.
Symantec... Ooit in een ver verleden heel veel licenties van verkocht, maar op de één of andere manier bekruipt me de laatste jaren telkens het gevoel dat Symantec achter de feiten aan hobbelt. Dit bericht lijkt mijn gevoel te bevestigen. Gewoon uit interesse: kan iemand me vertellen wat de huidige status van Symantec is en hoe het bedrijf zich verhoudt ten opzichte van bijvoorbeeld een Trend Micro en andere branchegenoten?
Trend micro lol
Symantec is een security behemoth met oplossingen voor alles, Trend micro was een klein av bedrijfje

nee maar echt, er zijn mensen die denken dat symantec een virusscanner is ofzo. maar de iot divisie bijvoorbeeld, die wordt alleen tegengehouden door geld en media.
voor het beveiligen van een auto, met Symnatec's 4 cornerstones van iot security, krijgen ze iets van 3-4 dollar per auto.
zet je datzelfde in een mri machine, precies hetzelfde idee, krijg je zo 5000-10000 dollar per machine. maar ze beveiligen op dit moment een miljard iot devices.
tuurlijk, een van die cornerstones is certificates en ze hadden wat problemen met certificates. maar dat zegt niet dat de andere 99% van het bedrijf mis is.
ze hebben bijvoorbeeld een soort vpn solution, die ook cookies en dat soort dingen blockt en malware dan kun je daarmee verbinden en is je verbinding encrypted+schoon.

dat is next level shit

en inb4 je zegt dat je niet symantec's vpn wil gebruiken, binnenkort open source, kun je het op je eigen machine draaien

die authenticator's op je telefoon, met die codes. dat is allemaal symantec code. want de reference implementatie in de rfc is door hun gemaakt.
symantec is het enige bedrijf wat decryptie at speed kan doen. alle concurenten, palo alto, fireeye etc, zijn fucking langzaam. palo alto heeft sinds kort de mogelijkheid om het te doen. mara in 99% van de boxes zet de klant het niet aan, omdat het de box dost.
symnatic zijn de enigen die dat snel genoeg kunnen doen om het feasible te maken

het probleem met comments op tweakers op dit soort artikelen is dat de meeste mensen niet in de industrie zitten. beetje trend micro een branchegenoot noemen lol
Volgens mij is de RFC voor two factor auth geschreven door een heel lijstje van bedrijven waaronder inderdaad symantec, maar is de reference code geschreven door PortWise:
https://tools.ietf.org/html/rfc6238#page-9

Also, cookies scrubben en malware detectie op een verbinging is "next level shit"? Laten we alsjebelieft de marketing voor wat het is ok?

"In de industrie zitten" betekend meer dan de marketingfolders van je favoriete vendor opzuigen.

Voor wat betreft je decryptieverhaal, fireeye doet 5.5gbs op een lijn met 100% https verkeer, op een dedicated "box", dus wat je precies bedoelt met, niet snel genoeg en niet geactiveerd door klanten is me volstrekt onduidelijk. Waarom zou je een appliance kopen voor een doel, en dan hem dat doel niet laten uitvoeren omdat hij het dan druk krijgt.
Daarnaast, ssl decrypten in-line kan niet zonder zelf de veiligheid van je clients in gevaar te brengen met self-signed trusted root-keys op die machines. Een *intens* slecht idee als je daadwerkelijk om de security van die clients geeft.
Een eigen root-CA een intens slecht idee? Die honderden publieke CA's die je standaard vertrouwt zijn dat dan zeker ook. Immers wie zegt dat publieke CA's met hun veel grotere reikwijdte relatief beter beheerd worden dan jouw eigen CA die veel minder in de kijker loopt en veel meer offline kan? Binnen een Windows domein vertrouw je toch al alle beheerders de complete PC toe. Beheerders kunnen alles meelezen zonder dat je ooit iets doorhebt. Vertrouwen is daar een eerste vereiste, anders kun je geen bedrijfsnetwerk meer op tegenwoordig.

Dat SSL inspectie een onderwerp voor discussie is en implementaties daarvan aan veel randvoorwaarden moeten voldoen is helder. Malware maakt ook steeds meer gebruik van SSL, sta je dat blind toe naar onbekende IP's dan is die malware direct verbonden met een command and control server. SSL inspectie kan dus ook zeker bijdragen aan de security van de clients en daarbij helpen tegen exfiltreren van gevoelige gegevens door een aanvaller. Bij voorbaat een *intens* slecht idee lijkt me niet.
het ondersteunen van een open source programma met open source solutions voor dat soort next level shit is next level
https://support.symantec.com/en_US/article.TECH216558.html

Deze open-source "next level shit" die door Symantec gebruikt wordt is inmiddels 5 jaar oud, SEPM 12.1 RTM to SEPM 12.1 RU1 MP1 gebruiken waarschijnlijk een oudere versie van OpenSSL die de bug nog niet had.
Daarnaast, ssl decrypten in-line kan niet zonder zelf de veiligheid van je clients in gevaar te brengen met self-signed trusted root-keys op die machines. Een *intens* slecht idee als je daadwerkelijk om de security van die clients geeft.
bullshit, dan heb je het niet begrepen
http://www.securityweek.c...ymantec-endpoint-products

Doordat Symantec Endpoint Protection tussen je PC/browser en internet gaat zitten en daar een fout in zit, is je PC minder veilig.
Naja de meeste producten van Symantec zijn wel acquisities van bestaande bedrijven, Verisign, Altiris, Veritas etc. Er staat wel een Symantec logo op maar dat is het ook dus ik snap wel dat de meeste mensen Symantec enkel kennen van de antivirus oplossing.

Ik heb itt tot jou trouwens geen hoge pet op van Symantec. Hun antivirus oplossingen zijn waardeloos, doen meer kwaad dan goed (ok dan zijn ze niet de enige eerlijk is eerlijk) en wat ze overgenomen hebben, Veritas en Altiris wordt je ook niet vrolijk van en nu is Verisign aan de beurt. Toch één van de bekendste uitgevers van certiifcaten die ook in het bankwezen e.d. wordt gebruikt. Nee jij hebt meer vertrouwen in Symantec dan ik blijkbaar.

Verder vind ik je post één grote warboel ik kan er werkelijk waar geen touw aan vast knopen waar je het allemaal over hebt. Je springt echt van de hak op de tak dus waarom dat dan +2 of zelfs +3 waard is is mij ook één groot raadsel. Woorden als fucking en next level shit, het klinkt allemaal heel populair maar het doet mij niet zoveel.
Vind anders de AV bedrijfsoplossingen van Symantec wel goed, die dingen doen wat ze moeten doen, en zijn in tegenstelling tot (jaaaaaren) geleden vrij licht, kan mij niet ook niet inbeelden waarom de consumenten AV dat dan plots wel zou zijn tegenwoordig.
Symantec maakt(e) wel meer dan alleen AV- en beveiligingssoftware. :)

De Ghost-suite was bijvoorbeeld ook onderdeel van hun portfolio en 'natuurlijk' Backup Exec. :) Naar mijn weten zijn deze producten wel een beetje dood gebloed, zijn overgenomen door iemand anders of zijn opgedeeld andere apllicaties in. :)
het probleem met comments op tweakers op dit soort artikelen is dat de meeste mensen niet in de industrie zitten. beetje trend micro een branchegenoot noemen lol
Lijkt er dus op, dat je zelf ook niet weet wat Symantec allemaal doet. ;) Tegenwoordig heeft Symantec inderdaad de pijlen gericht op beveiliging.

[Reactie gewijzigd door CH4OS op 23 juli 2024 03:58]

Symantec is een security behemoth met oplossingen voor alles, Trend micro was een klein av bedrijfje
Trend Micro doet heel wat meer dan een klein av bedrijfje zijn. Ze zijn +/- de helft van Symantec en bieden ongeveer hetzelfde totaal plaatje.
Dit zal niet bij Symantec alleen zijn, het wordt denk ik ook alleen maar scherper en complexer.
min of meer off-topic: zitten we aan versie 64?? Ik heb hier de laatste canary build lopen, en dat is versie 59..
Nee, dat is gepland voor versie 64..
Vooral uitkijken naar de reactie van Microsoft en Mozilla nu. Ik verwacht dat Microsoft het niet eens gaat zijn met het "boze" Google en Symantec blijft vertrouwen. Mozilla kreeg tot voor kort veel geld van Google en speelt graag pietje-precies, dus die zullen Google wel steunen.
Symantec is bij mijn weten nooit een ernstig bedrijf geweest - we kennen ze al van in 20-jaar terug in de apple-tijd en echt geweldig hebben we die produkten nooit gevonden. Als ze iets overnamen ging't er nadien altijd op achteruit. Dus verbaast dit ons? Eigenlijk verbaast het me - dat die kunnen zijn blijven doorgaan - zo lang.

Op dit item kan niet meer gereageerd worden.