Windows 10 vertrouwt nieuwe WoSign-certificaten vanaf oktober niet meer

Microsoft heeft bekendgemaakt dat het alle nieuwe WoSign- en StartCom-certificaten, die vanaf oktober worden uitgegeven, niet meer vertrouwt in Windows 10. Alle bestaande certificaten worden nog vertrouwd totdat zij vanzelf aflopen.

Microsoft schrijft dat het de beslissing heeft genomen omdat de certificaatautoriteiten niet voldoen aan de standaarden van zijn Trusted Root-programma. Het Redmondse bedrijf rekent de autoriteiten ook andere misstappen aan, zoals het onterecht uitgeven van certificaten, het gebruiken van dubbele serienummers en het aanpassen van de datum van uitgifte, zodat deze verder in het verleden lijkt te liggen. Het verlopen van de certificaten wil het bedrijf bereiken door een 'not before'-datum van 26 september te hanteren.

Mozilla maakte vorig jaar al bekend dat het zijn vertrouwen in de Chinese certificaatautoriteiten had verloren, nadat er een onderzoek had plaatsgevonden. Mozilla stelde zelf een uitgebreide lijst op met de problemen rond WoSign en StartCom. Apple trok destijds eveneens zijn vertrouwen in de certificaten in. In november volgde Google met een soortgelijke beslissing, waar het bedrijf een gefaseerde aanpak hanteerde.

Google startte in Chrome 56 met het afbouwen van het vertrouwen en maakte eind juli bekend dat met versie 61 van de browser het vertrouwen volledig verdwijnt. Dat betekent dat rond september, als de release plaatsvindt, alle StartCom- en WoSign- certificaten niet meer worden vertrouwd door Chrome. Google raadde sites die de certificaten nog steeds gebruiken, dan ook aan om snel actie te ondernemen om problemen te voorkomen.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 09-08-2017 09:4066

09-08-2017 • 09:40

66 Linkedin

Lees meer

Certificaatautoriteit StartCom stopt vanwege verlies vertrouwen van browsers Nieuws van 20 november 2017
Na Mozilla trekt ook Google vertrouwen in WoSign- en StartCom-certificaten in Nieuws van 1 november 2016
Mozilla vertrouwt nieuwe WoSign- en StartCom-certificaten niet Nieuws van 25 oktober 2016
WoSign kondigt herstructurering aan en vervangt ceo na onderzoek Mozilla Nieuws van 10 oktober 2016
Mozilla gaat certificaatautoriteit WoSign/StartCom straffen Nieuws van 27 september 2016
Meer producten en artikelen
Besturingssystemen Internet Netwerk en systeembeheer Certificaat

Reacties (66)

-Moderatie-faq
66
66
58
15
0
7
Wijzig sortering
CAPSLOCK2000
9 augustus 2017 10:29
Iets zit me een beetje dwars, namelijk hoeveel vertrouwen er ligt in de handen van een hééél klein groepje mensen. Dan heb ik het niet eens over de CA's, maar over een nog exclusievere groep*, de organisaties die bepalen welke certificaten wij in onze keystores hebben zitten. Dat clubje is niet veel groter dan Microsoft, Google, Apple, Mozilla en dat was het wel weer. Die zelfde hand vol bedrijven maakt zowel de OS'en als de webbrowsers die daar op draaien, als de appstores waar de meeste mensen hun software halen. De meeste van deze bedrijven hebben daarnaast ook nog flinke belangen in de CA-bussiness.
Microsoft en Google hebben een of meerdere eigen CA's en een aantal van deze bedrijven werkt mee aan LetsEncrypt.

Als een van deze organisaties een beslissing neemt (terecht of niet) dan vallen er een hoop onschuldige slachtoffers, de klanten van de CA's die uit de gratie vallen. Niet dat ik pleit dat een slechte CA in de lucht moet worden gehouden, maar het is wel heel vervelend voor die klanten. Bezwaar maken is eigenlijk onmogelijk. Zelfs als je naar de rechter stapt ben je praktisch kansloos. Tegen de tijd dat die een uitspraak doet is het leed al geschied en waarschijnlijk onomkeerbaar geworden.

Overigens probeer ik geen complot te onthullen of zo. Ik zeg niet dat ze samenwerken om de wereld een hak te zetten, ze lijken het allemaal met de beste bedoelingen te doen. Maar het feit blijft dat er heel erg veel macht ligt bij een ontzettend klein groepje mensen.

DANE biedt een uitweg, dan gebruik je geen CA's om de echtheid van je certificaten te bewijzen, maar publiceer je zelf in DNS welke certificaten bij jouw domein horen. Het zal echter nog lang duren voordat DANE ver genoeg is doorgedrongen om de CA's echt te kunnen vervangen.

* Er is ook nog een organisatie die het CA/Browser forum heet, maar die bestaat grotendeels uit bovenstaande bedrijven.
lenwar
@CAPSLOCK20009 augustus 2017 13:24
Je hebt uiteraard een goed punt. In het geval van EV-certificaten: "Wie is Microsoft/Apple/Google/Mozilla/wiedanook om te bepalen wie gemachtigd is om te bepalen dat een bedrijf/persoon is wie hij zegt dat hij is terwijl diezelfde Microsoft/Apple/Google/Mozilla/wiedanooks zelf ook allerlei (aldanniet commerciele) belangen hebben."

Je zou kunnen zeggen dat die bedrijven zich in een hoek hebben geduwd, doordat dat zij daadwerkelijk op een bepaalde manier verantwoordelijk zijn geworden voor de controle op die machtigingen, doordat zij op hun beurt weer een verantwoordelijkheid dragen richting haar vele gebruikers en klanten.
Zwartwit gezien betekend dit dit dus dat als zij hun werk niet goed dat zij dit gaan merken in hun gebruikersbestand. (Als ze het HEEL bond gaan maken, dan komt het vanzelf bij het grote publiek en zullen zij aldanniet kunnen besluiten een andere browser te gaan gebruiken)

De enige manier om dit een beetje in de gaten te kunnen houden is door de keuzes van het aldanniet vertrouwen van CA's volledig transparant en open te doen zoals bijvoorbeeld Mozilla dat doet:
https://wiki.mozilla.org/...de_in_Mozilla_products.3F
https://wiki.mozilla.org/CA:How_to_apply

Op deze manier kan het grote publiek in elk geval controleren of het toevoegen/behouden/verwijderen van de gedelgeerden op een manier gaat waar men zich in kan vinden. En met het grote publiek bedoel ik uiteraard niet de slager om hoek of misschien zelfs ons :)
SuperDre
@CAPSLOCK20009 augustus 2017 10:53
DANE biedt een uitweg, dan gebruik je geen CA's om de echtheid van je certificaten te bewijzen, maar publiceer je zelf in DNS welke certificaten bij jouw domein horen. Het zal echter nog lang duren voordat DANE ver genoeg is doorgedrongen om de CA's echt te kunnen vervangen.
Maar is het nut van zelf publiceren welke certificaten bij jouw domein horen dan niet zinloos, want elke malifide bedrijf kan dan dus gewoon zelf wat bogus certificaten publiceren, en de gebruiker heeft dan totaal geen idee of het bedrijf zelf wel te vertrouwen is. En in principe kan dan ook bij een hack de certificaten vervangen worden. (ik kan het natuurlijk ook fout hebben, mijn kennis is niet zo heel goed wat betreft certificaten, maar dit is meer mijn logica die het zo redeneert).

[Reactie gewijzigd door SuperDre op 9 augustus 2017 10:54]

CAPSLOCK2000
@SuperDre9 augustus 2017 11:53
Maar is het nut van zelf publiceren welke certificaten bij jouw domein horen dan niet zinloos, want elke malifide bedrijf kan dan dus gewoon zelf wat bogus certificaten publiceren, en de gebruiker heeft dan totaal geen idee of het bedrijf zelf wel te vertrouwen is. En in principe kan dan ook bij een hack de certificaten vervangen worden. (ik kan het natuurlijk ook fout hebben, mijn kennis is niet zo heel goed wat betreft certificaten, maar dit is meer mijn logica die het zo redeneert).
Dat is nu ook al zo. Je lijkt er van uit te gaan dat malafide bedrijven geen certificaten kunnen kopen. Dat is niet waar, sterker nog, je kan ze tegenwoordig gratis krijgen. Dat een certificaat gratis is zou ook iets moeten zeggen over hoeveel onderzoek er is gedaan naar de achtergrond van de aanvrager. Dat is precies 0. In praktijk is de enige controle een technische; namelijk of je controle hebt over DNS (of e-mail, wat weer instelbaar is via DNS). Dat is dus exact hetzelfde mechanisme als DANE gebruikt.

Er zijn wel EV-certifcaten (Extended Validation), daar wordt wel een klein beetje onderzoek gedaan naar de achtergrond van de aanvrager, maar ook dat stelt niet zo veel voor. Ze controleren alleen of je bij de Kamer van Koophandel staat ingeschreven, niet of dat ook maar iets te maken heeft met het cert dat je aanvraagt. Als jij ingeschreven staat als "De fietsenmaker BV" en je vraagt een certificaat aan voor "slager.com" dan zal niemand daar vragen bij stellen.

Je kan er beter van uitgaan dat certificaten niks zeggen over de identiteit van de eigenaar. Het enige dat een certificaat garandeert is dat je verkeer onderweg niet wordt afgeluisterd of veranderd. Daarnaast kan het garanderen dat je deze keer met dezelfde partij te maken hebt als de vorige keer dat je contact had, maar in praktijk doen we daar niet zo veel mee.

[Reactie gewijzigd door CAPSLOCK2000 op 9 augustus 2017 11:54]

makafeli
@CAPSLOCK20009 augustus 2017 16:34
Voor een EV-certificaat wordt er wel meerdere validatie checks uitgevoerd.
- KVK inschrijving
-WHOIS moet overeenkomen met je ingeschreven naam bij de KVK
-Telefonische validatie waarbij ze je telefoonnummer uit Publieke bronnen halen of je KVK

En bij sommige CA's heb je ook nog een formulier dat ingevuld en ondertekend moet worden. In het geval dat "De fietsenmaker BV" eigenaar is van slager.com volgens de WHOIS, dan vraag ik mij af welke vragen je dan moet gaan stellen. De WHOIS toont aan dat ze de eigenaar van het betreffende domeinnaam zijn.

Er wordt dus wel meerdere checks uitgevoerd dan behalve een KVK check.

Al ben ik het eens met het feit dat menig mensen denken dat het veilig is zodra ze een " groen slotje" zien, terwijl het niks meer en minder betekend dat een website versleuteld is. Het staat dan ook verder los van het feit of er een validatie check heeft plaats gevonden voor het betreffende domeinnaam.
CAPSLOCK2000
@makafeli9 augustus 2017 17:05
Dat zijn technisch controles. Die zeggen niks over de betrouwbaarheid van de partner.
Als ik het bedrijf "Vieze Oplichters BV" opricht en met dat bedrijf het domein "echtebank.nl" koop dan kan ik daar gewoon een EV-certificaat voor krijgen. In je browser staat dan ergens in een hoekje dat de site eigendom is van "Vieze Oplichters BV", maar wie controleert dat nu ooit?

Mijn voorbeeld over de bakker en slager gaat er over dat je inhoudelijk kennis van het werk van een bakker moet hebben om te beseffen dat slager.com een vreemd domein is om te registeren, voor een bakker. Zo'n controle wordt echter niet gedaan.

PS. Ik neem aan dat de string "bank" zorgt voor extra controles bij de meeste CA's, maar er is geen enkele garantie dat dit ook echt gebeurt.
Blokker_1999
@CAPSLOCK20009 augustus 2017 18:11
Ik controleer of dat er staat wanneer het belangrijk is, zoals bij een bank. En er zullen voldoende mensen zijn die dat controleren om in geval van fraude te gaan klagen bij de echte bank. Dat vele mensen er niet naar kijken betekend helemaal niet dat het niet werkt of zinloos is. Zolang er maar voldoende mensen naar kijken.
leuk_he
@CAPSLOCK20009 augustus 2017 23:36
Ca geven alleen aan dat degene die het certificaat heeft aangevraagd ook controle heeft over het domein. Dus dat de verbinding onderweg niet afgeluisterd of veranderd wordt.

Niet dat de site beveiligd is en niet dat degene achter de site te vertrouwen is. Zelfs niet dat de persoon achter de site te achterhalen is. "Beveiliging" is dus ook maar relatief.
Blokker_1999
@CAPSLOCK20009 augustus 2017 18:13
Ik heb een code signing certificaat op eigen naam staan, wat ook een vorm van EV certificaat is. En ik kan je zeggen: daar komt toch wel net iets meer bij kijken, al ben ik er zeker van dat je het ook zo kunt faken. Zo moest ik o.a. langs de notaris passeren. Ik weet alleen niet of dat de uitgever ook effectief de notaris heeft gecontacteerd om na te gaan of ik daar langs geweest ben.
CAPSLOCK2000
@Blokker_19999 augustus 2017 18:47
Klopt, ik ben een beetje kort door de bocht gegaan door het alleen over server-certificaten te hebben, maar dat is wel 99% van de markt. Voor andere certificaten, zoals persoonlijke code signing certs, hebben CA's nog wel een rol te spelen.
Ik denk wel dat die markt gaat veranderen. Ik verwacht dat nationale regeringen zich er mee gaan bemoeien. Er zijn al landen, waaronder Nederland, die een certificaat koppelen aan je paspoort. Nederland doet daar verder nog niks mee, maar in landen als België en Estland wordt er op grote schaal gebruik van gemaakt.
sdk1985
@CAPSLOCK20009 augustus 2017 18:43
Er zijn wel EV-certifcaten (Extended Validation), daar wordt wel een klein beetje onderzoek gedaan naar de achtergrond van de aanvrager, maar ook dat stelt niet zo veel voor. Ze controleren alleen of je bij de Kamer van Koophandel staat ingeschreven, niet of dat ook maar iets te maken heeft met het cert dat je aanvraagt.
Nuance hierop; het komt voor dat gevraagd wordt naar diverse bewijzen, naast het KvK. Waaronder een energieafrekening. Komt met name voor bij gevestigde bedrijven waarbij dan wat conflicterende gegevens worden gevonden op internet. Vaak wordt er ook naar DNB D.U.N.S en bijvoorbeeld detelefoongids gekeken.

Maar goed, heb jij een nieuw bedrijf waar niets over te vinden is dan volstaat inderdaad het KvK uittreksel in combinatie met de validatie WHOIS (moet matchen met KvK) en telefonische validatie.

Alles bij elkaar garandeert een EV dat je met een 'legal entity' zaken doet. Niet dat het bedrijf zelf zuiver is. Het is geen morele politie.

[Reactie gewijzigd door sdk1985 op 9 augustus 2017 22:09]

Aaargh!
@CAPSLOCK20009 augustus 2017 10:46
de organisaties die bepalen welke certificaten wij in onze keystores hebben zitten
Nee, ze bepalen alleen de default lijst, je kan gewoon de root CA lijst van je browser/OS inzien en aanpassen als je ‘t er niet mee eens bent.

[Reactie gewijzigd door Aaargh! op 9 augustus 2017 10:46]

kakanox
@Aaargh!9 augustus 2017 10:55
Ook binnen Android en iOS?
nIghtorius
@kakanox9 augustus 2017 11:18
Android is het wel mogelijk. Volgens mij ook met iOS. Had ooit een een Ziggo Wifispots certificaat moeten installeren op een iPhone. Dus denk van wel.
meatarian
@nIghtorius9 augustus 2017 14:59
Ook binnen iOS inderdaad geen problem. Intern gebruiken wij ook onze eigen CA.
oef!
@kakanox9 augustus 2017 11:20
Zou moeten werken onder Android. De CA komt dan in de user store terecht.
CAPSLOCK2000
@Aaargh!9 augustus 2017 11:34
Nee, ze bepalen alleen de default lijst, je kan gewoon de root CA lijst van je browser/OS inzien en aanpassen als je ‘t er niet mee eens bent.
Ik doe dat wel en jij ook en misschien nog drie andere Tweakers, maar dan hebben we het wel weer gehad. Defacto werkt iedereen met de standaard lijst, zelfs in het bedrijfsleven, waar je soms exact weet waar een computer voor gebruikt gaat worden, is het zeer ongebruikelijk om ooit iets uit de lijst te halen.
Extra CA's toevoegen doen we wel, meestal om slechte redenen, maar ze weghalen doet vrijwel nooit iemand.
DYX
@Aaargh!9 augustus 2017 11:42
Ja en nee. Je heb gelijk dat ze alleen de default lijst bepalen. Voor ons als tweaker is het makkelijk om een extra root certificaat toe te voegen aangezien we snappen wat de gevolgen ervan zijn. Doorsnee eindgebruikers zullen dit niet handmatig doen en voor deze zeer grote groep is de door de browser/OS definieerde lijst dus wel de enige lijst met vertrouwde certificaten

@kakanox: Bij zowel Android als IOS is het mogelijk om zelf certificaten toe te voegen. Bij interne draadloze bedrijfsnetwerken moet je het certificaat vaak handmatig installeren.

[Reactie gewijzigd door DYX op 9 augustus 2017 11:43]

rko4u
@Aaargh!9 augustus 2017 11:53
Je kan de lijst persoonlijk aanpassen, maar welk bedrijf wil een certificaat gebruiken die niet by default zal worden vertrouwd?
svenslootweg
@CAPSLOCK20009 augustus 2017 15:50
DANE lost dit helemaal niet op, en ook "dan gebruik je geen CA's" is misleidend. Het enige dat je ermee bereikt is dat je effectief van je registry een CA maakt, en waarom dat een verschrikkelijk slecht idee is wordt hier uitgelegd.

In het kort: DANE is geen verbetering, het maakt de situatie alleen maar ernstiger.
CAPSLOCK2000
@svenslootweg9 augustus 2017 17:23
Op links reageer ik maar met links, anders kost het me veel te veel tijd.

http://shorttext.com/63084847
http://www.spinics.net/lists/fedora-devel/msg206233.html
https://www.reddit.com/r/...ts/2sr0gz/against_dnssec/

Als je losse punten wil bespreken dan doe ik dat graag.
deadinspace
@svenslootweg9 augustus 2017 17:30
Dat gelinkte artikel is echt een must-read voor iedereen die wil weten waarom DNSSEC een slecht idee is!
3x3
9 augustus 2017 09:47
Prima keuze.
De misstappen van Wosign zijn niet alleen de drie die in het Artikel genoemd zijn.
Mozilla heeft 12 eigenlijk onacceptabele problemen + reacties van WoSign gedocumenteerd:
1 Issue D: Long-Lived SHA-1 Certs (Jan - Mar 2015)
2 Issue F: Certs Identical Except For NotBefore (Mar 2015)
3 Issue H: Duplicate Serial Numbers (Apr 2015)
4 Issue J: Various BR Violations (Apr 2015)
5 Issue L: Any Port (Jan - Apr 2015)
6 Issue N: Additional Domain Errors (June 2015)
7 Issue O: Intermediates with Duplicate Serial Numbers (May - July 2015)
8 Issue P: Use of SM2 Algorithm (Nov 2015)
9 Issue R: Purchase of StartCom (Nov 2015)
10 Issue S: Backdated SHA-1 Certs (January 2016)
11 Issue T: alicdn.com Misissuance (June 2016)
12 Issue V: StartEncrypt (July 2016)
13 Issue X: Unpatched Software (September 2016)
Dat de certificaten niet meer erkent gaan worden is eigenlijk niet meer dan logisch.
Zelf ben ik erg bij met dat Lets Encrypt nu in iedergeval zorgt dat elke website een ssl verbinding kan maken, zodat gegevens een hoop meer beschermd zijn.
DigitalExorcist
9 augustus 2017 09:42
Klinkt verstandig.... zijn er bekende diensten die gebruik maken hiervan?
The Zep Man
@DigitalExorcist9 augustus 2017 09:47
zijn er bekende diensten die gebruik maken hiervan?
Geen idee of er bekende diensten zijn. Wel weet ik dat StartCom een product heeft/had om gratis SSL/TLS certificaten te genereren genaamd StartSSL. Alleen revocation kostte geld. Dat lijkt niet erg, maar de certificaten hadden wel een verlooptermijn van drie jaar. Dat geeft niet veel flexibiliteit.

StartSSL is natuurlijk allang achterhaald door Let's Encrypt, dat volledig gratis is en met periodes van drie maanden werkt. Daarmee is het mogelijk om sneller op nieuwe technologische ontwikkelingen in te springen (nieuwe onderliggende algoritmes, etc.).
DePruus
@The Zep Man9 augustus 2017 10:05
Maar als iedereen gratis Letsencrypt gratis kan gebruiken en opzetten, wat is dan het verschil. Want als je geen goede bedoelingen hebt, dan krijg je het voor elkaar. Is dit niet een beetje een vinger die wijst naar een ander? Ik vraag maar....
Dorank
@DePruus9 augustus 2017 10:50
Binnenkort wordt het verplicht om een zinnig CAA in DNS te hebben om een certificaat aan te vragen als je DNSSEC enabled hebt voor een domein. De eigenaar/beheerder van een kan zich hiermee beter wapenen tegen onterechte uitgifte van certificaten, CAs dit dit process schenden worden vanzelf verwijderd uit de chain of trust.
Raventhorn
@DePruus9 augustus 2017 10:55
De enige zekerheid die een beveiligde verbinding geeft, is dat je zeker weet dat je met die specifieke server verbonden bent.
Het geeft geen zekerheid over de partij die de server in beheer heeft, en of het wel de juiste server of partij is. ;)

Dat kan wel, maar daarvoor is een Extended Validation Certificate voor nodig. Dan krijg je ook de naam van de partij die het EV heeft aangevraagd in veel browsers naast het slotje.
Als je meer informatie wil, Troy Hunt heeft wel een uitgebreide blogpost over waarom hij voor Have I Been Pwned een EV aangevraagd had, en wat het wel en niet betekent. :)
Atheistus
@DePruus9 augustus 2017 10:19
Er wordt wel gecontroleerd of het (sub)domein waar je het voor aanvraagt wel klopt. Zo niet dan werkt de aanvraag/update niet.
Verder is het niet bedoeld om de authenticiteit vast te stellen van de eigenaar, maar meer om een goede beveiligde verbinding op te zetten. Als je je bedrijfsnaam in de balk wil hebben moet je nog steeds een certificaat kopen.
Zsub
@The Zep Man9 augustus 2017 10:20
StartCom had relatief goedkope wildcard certificates, voor ongeveer $60 per twee jaar. Daarvoor heb ik ze een tijd gebruikt. Inmiddels heeft elk subdomein bij mij netjes z'n eigen LetsEncrypt certificaat en is het zelfs (bijna?) mogelijk om via LetsEncrypt ook wildcard certificaten te genereren.

Let wel dat LetsEncrypt op dit moment alleen Domain Validated certificaten uit kan geven. Mocht je hogere validatieniveau's nodig hebben zal je toch met een traditionele certificate authority in zee moeten, voor zover ik weet.
lenwar
@Zsub9 augustus 2017 10:33
Ik heb zelf een aantal LE certificaten met meerdere SPNs erin. Dat scheelt in elk geval dat je niet voor elk sudomain een apart certificaat hoeft aan te vragen. Wel moet je dan bij elke nieuwe subdomain je certificaat laten vervangen, dus afhankelijk van hoe dynamisch je omgeving is, gaat LE je op een gegeven moment throttlen natuurlijk. (je kan maar zoveel certificaten per dag(/week?) aanvragen)

De wildcardcertificaten zijn elders overigens ook voor schappelijke prijzen te vinden als je die echt persé nodig hebt.
https://www.ssl2buy.com/alphassl-wildcard.php

LE wil vanaf januari 2018 ook Wildcardcertificaten mogelijk maken: https://letsencrypt.org/2...ates-coming-jan-2018.html
RobinF
@lenwar9 augustus 2017 11:04
Alle limieten kan je hier vinden: https://letsencrypt.org/docs/rate-limits/

Voor klein gebruik zal je die limieten niet raken. Alhoewel wildcards natuurlijk een leuke extra is
Wim-Bart
@The Zep Man9 augustus 2017 11:04
Nadeel van LetsEncrypt is dat het nogal veel werk is om handmatig iedere 3 maanden voor mijn Exchange server een certificaat te genereren omdat dit automatisch nog steeds niet werkt. Met StartSSL is het 1x per drie jaar 10 klikjes en klaar. Met LetsEncrypt kost het mij iedere 3 maanden bijna 4 uur.
Arjan A
@DigitalExorcist9 augustus 2017 09:45
Nee, het zijn bedrijfjes die gratis certificaten uitgeven en geld verdienen aan aanvullende diensten.
Als je toch gratis aan je certificaten wil komen, is letsencrypt een beter alternatief.
-Aanvullinkje: StartCom is al een tijdje geleden overgenomen door een Chinees bedrijf, en is daar niet zo heel open in geweest; iets wat voor een certificaten-uitgever toch wel als doodzonde geldt. Je haalt op die manier het vertrouwen uit het systeem. T.net had daar toen ook al over bericht.

[Reactie gewijzigd door Arjan A op 9 augustus 2017 09:48]

CAPSLOCK2000
@DigitalExorcist9 augustus 2017 09:44
Ga er maar van uit, WoSign / StartCom is een van de grootste bedrijven in die sector.
Yggdrasil
@CAPSLOCK20009 augustus 2017 10:22
Een van de grootste? Dat valt wel mee. Een jaar geleden (voordat de ophef over hun fouten begon) zat StartCom rond de 2% marktaandeel. Inmiddels is hun marktaandeel gedaald tot 0,2%.

Bron: https://w3techs.com/techn...view/ssl_certificate/ms/q
CAPSLOCK2000
@Yggdrasil9 augustus 2017 10:32
Tot voor kort zaten ze ergens halverwege de top 10 van de wereld. Er zijn honderden CA's, als je dan tot de top 10 hoort dan ben je een van de grootste bedrijven van de wereld. Inmiddels zijn ze afgezakt naar plaats 11 maar ze zijn nog steeds verantwoordelijk voor miljoenen certificaten.
Zo'n SSL-cert is typisch 1 tot 3 jaar geldig. Voorlopig zijn ze dus nog niet weg.

[Reactie gewijzigd door CAPSLOCK2000 op 9 augustus 2017 10:32]

Jonathan-458
9 augustus 2017 09:45
Mooi, het heeft geen zin om certificaten van certificaten autoriteiten te ondersteunen welke hun zaken niet op orde hebben.
indigo79
@Jonathan-4589 augustus 2017 09:51
Ik vind het een rare beslissing dat ze pas vanaf oktober niet meer vertrouwd worden. Ofwel hebben ze hun zaken niet op orde en zijn ze als certificaatauthoriteit niet betrouwbaar, ofwel hebben ze hun zaken wel op orde en is er geen probleem. Ze pas vanaf oktober niet meer vertrouwen en intussen mogelijk onbetrouwbare certificaten toch vertrouwen omdat het anders ongemakkelijk is voor gebruikers, is volgens mij sowieso fout.
TheVMaster
@indigo799 augustus 2017 09:58
Je moet de gebruikers van die certificaten ook de gelegenheid geven om 'over te stappen', zonder dat websites en andere diensten die die certificaten gebruiken ineens met untrusted cert's werken. Ook al zijn het gratis certificaten, je moest eens weten hoeveel mensen die certs gebruiken voor hun persoonlijek website....labomgeving etc.
Morgan4321
@TheVMaster9 augustus 2017 10:24
Nee, waarom? Onbetrouwbaar is onbetrouwbaar. En zo erg zijn de gevolgen niet, dan komen er maar waarschuwingen op een website, dan schieten de klanten tenminste ook wat op met dat overstappen.
TheVMaster
@Morgan43219 augustus 2017 10:28
Eh...omdat dat nu eenmaal zo werkt? Er wordt blijkbaar een inschatting gemaakt en daar komt uit dat het risico om dus de mensen gelegenheid te geven aanpassingen te doen (en het dus pas over paar mnd in te laten gaan) aanvaardbaar is.
indigo79
@TheVMaster9 augustus 2017 12:46
"Alle bestaande certificaten worden nog vertrouwd totdat zij vanzelf aflopen.", dus dit geldt enkel voor nieuwe certificaten. Er is dus geen probleem voor websites die op dit moment een dergelijk certificaat gebruiken.
Eigenlijk betekent dit dat de procedure nu wel vertrouwd wordt en vanaf 1 oktober niet meer, wat eigenaardig is als je geen kristallen bol hebt...
Eventueel moet er maar een categorie tussen gevoegd worden (twijfelachtig of zo), waarbij gebruikers de waarschuwingen kunnen uitzetten, maar het nog maanden vertrouwen van dergelijke certificaten ondermijnt het systeem van certificaat autoriteiten.
Jonathan-458
@indigo799 augustus 2017 09:56
Persoonlijk zie ik het liever ook direct beëindigd worden maar er moet natuurlijk ook genoeg tijd zijn om over te stappen naar een andere certificaat autoriteit en het juiste certificaat waar nodig te installeren.
swhnld
@indigo799 augustus 2017 10:36
Het niet vertrouwen van de certificaten moet ingebouwd worden in de software, getest en verspreid via een update.
Daarnaast zijn er betalende (zakelijk/overheid) klanten die dit soort certificaten intern gebruiken en er last van kunnen hebben, die klanten moeten tevreden gehouden worden en gewaarschuwd worden dat dit gaat gebeuren (en worden beschermt door de vanaf datum te gebruiken).
En als derde wordt door bijna alle klanten gewaardeerd als ze tijd krijgen om zich voor te bereiden op de gevolgen van een beslissing.
Trommelrem
9 augustus 2017 09:55
Ik dacht dat StartCom een Israelisch bedrijf was? Anyway, bij StartCom was het vroeger altijd zo makkelijk om random certificaten aan te vragen voor domeinnamen waarvan je de eigendom niet eens kunt aantonen :+
Het is maar goed dat deze praktijken worden aangepakt.

[Reactie gewijzigd door Trommelrem op 9 augustus 2017 09:55]

Glashelder
@Trommelrem9 augustus 2017 10:28
Hoe deed je dat dan? Heb zelf een tijd met StartCom gewerkt en kreeg altijd een code toegestuurd naar een van de bij het domein geregistreerde mailadressen ?
Wim-Bart
@Trommelrem9 augustus 2017 11:08
Dat had ik willen zien, want ze vereisen namelijk een user cert + mailbox van domein wat je gebruikte.
Morgan4321
9 augustus 2017 09:55
Gedoe met die CA boeren altijd. Gelukkig heb ik mijn eigen mailserver gewoon van een self-signed certificaat dat 50 jaar geldig is voorzien. Als het uitlekt kan ik het altijd nog vervangen en ik ken het serienummer als een mailprogramma er om vraagt.
SuperDre
@Morgan43219 augustus 2017 10:49
Maarja, dat self-signed zorgt er natuurlijk wel voor dat het eigenlijk onzin is om uberhaupt nog certificaten te gebruiken.
Wim-Bart
@SuperDre9 augustus 2017 11:09
Waarom?
SuperDre
@Wim-Bart9 augustus 2017 11:18
Wat is het nut van een self-signed certificaat als degene die hem ondertekend niet vertrouwd is. Elke malwareschrijven kan zijn eigen zuk self-signen, maar zo'n malwareschrijver zal niet zo snel een echt door velen vertrouwd certificaat kunnen krijgen om zijn troep mee te signen.
.oisyn
@SuperDre9 augustus 2017 12:16
Certificaten zijn gebaseerd op vertrouwen. Er is een standaard vertrouwen in de bekende root CA's, maar dat wil niet zeggen dat self signed certs ineens onzin zijn. Je stelt gewoon dat je de certs die je zelf hebt ondertekent ook vertrouwt. Dat zet niet ineens de deur open voor alle self signed certs van jan en alleman, alleen voor die van jezelf.

Het nadeel is natuurlijk dat ze niet standaard worden vertrouwd door apparaten en derden, je zal dat vertrouwen moeten uitrollen naar alles en iedereen dat van jouw cert afhankelijk is. Maar verkeer ertussen is dan iig wel beveiligd.

[Reactie gewijzigd door .oisyn op 9 augustus 2017 18:14]

MSalters
@.oisyn9 augustus 2017 16:43
Sterker nog, binnen een bedrijf zijn self-signed certs veiliger dan third-party certs. Voor het managen van je eigen servers kun je dan gebruik maken van een browser waarin je alleen je eigen self-signed cert gebruikt.
Dorank
@SuperDre9 augustus 2017 12:24
CAs zijn overbodig op het moment dat DNSSEC/TLSA/DANE actief gebruikt is. Je genereert een certificaat pair, publiceert het certificaat (fingerprint) voor diensten in DNS, DNSSEC voorkomt spoofing.
MSalters
@Dorank9 augustus 2017 16:44
Strikt genomen controleer je daarmee alleen dat de DNS beheerder ook de site beheerder is. Maar toegegeven, de gemiddelde CA checkt ook niet meer dan dat.
Dorank
@MSalters9 augustus 2017 18:09
Tsja, ik heb ook wel eens een EV certificaat voor een klant geregeld door z'n telefoonnummer even te kapen (uiteraard in opdracht van klant). Het probleem dat je een beheerder onvoorwaardelijk moet vertrouwen is al van alle tijden.
Morgan4321
@SuperDre9 augustus 2017 11:24
Die mailserver wordt alleen gebruikt door mijzelf en gezinsleden. Het handmatig checken van het certificaat is dus niet zo moeilijk, en het certificaat dient verder voor encryptie.
Wim-Bart
@SuperDre9 augustus 2017 12:35
Self signed boor eigen gebruik en niet door derden is niks mis mee. Ik weet van wie de server is en dat ik hem kam vertrouwen. Certificaat is niet alleen trust maar ook versleuteling. En zolang het versleutelen van de data goed gaat is er niks mis mee.
AWESOMO 3000
9 augustus 2017 09:49
Ik vind beetje laat van Microsoft aangezien Morzilla dit bijna een jaar geleden dit al deed.

Bron: https://tweakers.net/nieu...om-certificaten-niet.html
the_stickie
@AWESOMO 30009 augustus 2017 18:09
Ik neem aan dat Microsoft de kat uit de boom keek, oa omdat Mozilla zo hard schudde.
Mozilla heeft strikte voorwaarden opgelegd om de kans te geven het vertrouwen te herstellen, waar ze onmiddellijk mee aan de slag gegaan zijn.
Maar na zoveel tijd is er te weinig veranderd (hoewel ze net in juli een resubmission gedaan hebben bij Mozilla)
the_stickie
9 augustus 2017 09:59
Klinkt als een heel logische beslissing. Het vertrouwen is meer dan eens geschonden, en 'maatregelen' uit het verleden hebben schijnbaar maar weinig opgeleverd.
De in juli aangekondigde herstructurering, vernieuwing en audits zijn wmb dan ook 'too little-too late'. (Bron)

Zeer spijtig voor de werknemers, maar de kans dat deze CA dit overleeft, slinkt met de dag.
kakanox
9 augustus 2017 10:57
Microsoft heeft bekendgemaakt dat het alle nieuwe WoSign- en StartCom-certificaten, die vanaf oktober worden uitgegeven, niet meer vertrouwt in Windows 10. Alle bestaande certificaten worden nog vertrouwd totdat zij vanzelf aflopen.

Microsoft schrijft dat het de beslissing heeft genomen omdat de certificaatautoriteiten niet voldoen aan de standaarden van zijn Trusted Root-programma. Het Redmondse bedrijf rekent de autoriteiten ook andere misstappen aan, zoals het onterecht uitgeven van certificaten, het gebruiken van dubbele serienummers en het aanpassen van de datum van uitgifte, zodat deze verder in het verleden lijkt te liggen. Het verlopen van de certificaten wil het bedrijf bereiken door een 'not before'-datum van 26 september te hanteren.
Misschien lees ik eroverheen of begrijp ik het niet, maar hoe gaan ze dit bewerkstelligen? Als woSign en StartCom certificaten uitgeven met een datum in het verleden vallen die toch binnen de overgangsperiode?
Escovan
9 augustus 2017 10:02
Oeh, dit is zuur voor het Israëlische StartCom zeg. Ze hadden op zich een mooie omgeving waarin certificaat aanvragen vrij makkelijk werden afgehandeld, ook gratis. Zelf ben ik nog WoT-notary geweest in het begin. Maar ik heb altijd al zoiets gehad van "Dit gaat wel heel makkelijk". Een private key kan zomaar rondslingeren op een clouddrive ofzo en publiek worden, ook al waarschuwt de site daartegen.

Een kortere tijd geleden las ik al berichten van het bedrijf dat ze "not amused" waren met de lichtvaardigheid waarmee met de gratis certificaten werd omgesprongen. En dat het hen wel veel geld kostte deze negatieve PR. Ik denk dat dit dan ook de doodsteek wordt voor StartCom - dat overigens ook zijn eigen Linux distro verspreidde.
Uiteindelijk dus ten onder gegaan aan PBCAK-problemen wat ik er van begrijp.

Hopelijk blijft Let's Encrypt langer bestaan. Het voordeel hierbij is dat het direct de server valideert.
edit:

andere url

[Reactie gewijzigd door Escovan op 9 augustus 2017 10:04]

the_stickie
@Escovan9 augustus 2017 10:21
Neen, ze zijn niet door hun gebruikers benadeeld. Ze hebben (oa) moedwillig geprutst met certificaten om browsermeldingen te omzeilen, hun infrastructuur en procedures waren niet op orde én ze hebben nagelaten tijdig en correct te reageren op gemelde issues.
Pas na de blokkade door Mozilla hebben ze terdege actie ondernomen, maar vertrouwen speel je nu eenmaal makkelijker kwijt dan dat je het herwint!
Escovan
@the_stickie9 augustus 2017 10:33
Tja, daarmee zullen ze zelf niet adverteren / te koop lopen op de site natuurlijk. Voor eindgebruikers ook helemaal lastig om te bepalen of dit aan de hand was. Binnen de security community had dit natuurlijk wel beter gecommuniceerd moeten worden.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee