Certificaatautoriteit StartCom stopt vanwege verlies vertrouwen van browsers

De Chinese certificaatautoriteit StartCom heeft bekendgemaakt te stoppen met zijn activiteiten, waardoor het bedrijf vanaf 2018 geen certificaten meer zal uitgeven. De beslissing volgt op het intrekken van vertrouwen in de autoriteit door onder meer Google en Mozilla.

StartCom laat bij monde van bestuursvoorzitter Xiaosheng Tan in een bericht op een mailinglijst van Mozilla weten dat het de beslissing heeft genomen na 'zorgvuldige overweging'. Nadat het bedrijf per 1 januari 2018 gestopt is met het uitgeven van certificaten, zal het zijn drie rootcertificaten twee jaar later vernietigen. Xiaosheng Tan, die eveneens chief security officer is bij StartCom-moederbedrijf Qihoo 360, schrijft dat de certificaatautoriteit 'een moeilijk reïntegratieproces achter de rug heeft'.

De problemen rond StartCom en zusterbedrijf WoSign kwamen in 2016 aan het licht nadat Mozilla een onderzoek had uitgevoerd. Zo gaven de certificaatautoriteiten bijvoorbeeld zonder toestemming van de betreffende eigenaren certificaten voor domeinen uit en wijzigden ze de uitgiftedatum van certificaten achteraf. Mozilla besloot daarom in oktober 2016 zijn vertrouwen op te zeggen in de organisaties.

Deze beslissing werd gevolgd door onder meer Google, Apple en Microsoft. Vorig jaar kondigde het moederbedrijf nog een reorganisatie van de bedrijven aan. Daarbij werden WoSign en StartCom uit elkaar gehaald, nadat WoSign de autoriteit eerder zonder notificatie had overgenomen. Wat de huidige beslissing voor WoSign betekent, maakt Qihoo 360 niet bekend.

IT-banen

Reacties (58)

Bardman01 20 november 2017 10:45

Dat is de reden dat ik alle certificaten van de Nederlandse staat heb verwijdert uit Firefox, er loopt nog een rechtszaak over, toen bleek ook nog dat KPN ook nog staats certificaten te hebben??? (KPNBVPKIoverheidOrganisatieServerCA-G3.
En bij de eerstvolgende update waren ze 'spontaan' weer terug rare zaak. Next browser

freshy98 @Bardman01 • 20 november 2017 10:54

Kan zijn dat ik mis wat je precies bedoelt, maar overheden zijn (voor zover mij duidelijk is) verplicht een certificaat af te nemen bij KPNwhatever voor dingen die aan de buitenkant draaien.
Websites, etc. Althans, voor burgerzaken.

Ik werk op dit moment voor een gemeente, en daar hebben we ook certificaten via een andere uitgever omdat die gebruikt worden voor niet-burgerzaken.

Dat jij het verwijdert en ze bij een update terug komen is niet zo gek.
Het is een officiële uitgever.

Verwijderd @freshy98 • 20 november 2017 11:04

Er bestaat niet zoiets als een "officiële" uitgever. Dat suggereert namelijk dat er een centrale autoriteit is die bepaald wie wel of niet officieel is. Een plek waar KPN een klacht in kan dienen als een willekeurige browser haar certificaat eruit knikkert. Een dergelijke autoriteit is er echter niet.

In plaats daarvan bepaalt elke browser (en OS) maker zelf welke uitgevers het vertrouwd. Vervolgens kunnen individuele gebruikers daar zelf verandering in aanbrengen: extra certificaten vertrouwen (bijvoorbeeld van werkgever) of het vertrouwen van certificaten intrekken.

Dat Firefox een door de gebruiker geblokkeerd certificaat weer deblokkeert is wat mij betreft zeer opmerkelijk. Het gooit immers ook geen zelf toegevoegde certificaten er weer zomaar uit. Een applicatie in zijn algemeenheid hoort gewoon de instellingen van de gebruiker te bewaren.

CH4OS @freshy98 • 20 november 2017 11:11

Kan zijn dat ik mis wat je precies bedoelt, maar overheden zijn (voor zover mij duidelijk is) verplicht een certificaat af te nemen bij KPNwhatever voor dingen die aan de buitenkant draaien.
Websites, etc. Althans, voor burgerzaken.

Overheden zijn niet verplicht voor het nemen van een certificaat via KPN?

De overheid heeft daar een eigen certificate authority voor (Staat der Nederlanden), wat qua beheer onder Logius is geschoven. Strict gezien heeft KPN er dus niet zo veel mee te maken, al zullen er ongetwijfeld KPN medewerkers werken voor Logius.

Bardman01 @freshy98 • 20 november 2017 11:38

Kan wel zijn maar mijn vertrouwen is weg.

Als ik een certificaat verwijder verwacht ik niet dat hij zomaar terug komt. Andere instellingen worden ook overgenomen, dus waarom deze niet? Nergens word ik daarop attent gemaakt, voor mij is het vertrouwen dan weg, in de regering al een tijd, maar nu ook in deze browser.

En met die sleepwet die eraan komt al helemaal niet meer. Die volgens de persoon die de rechtszaak aanspant tegen het Europees recht ingaat. Zal leuk worden als die zaak door hem gewonnen gaat worden. Maar zoals altijd verwacht ik dat degene met de meeste macht of geld gaat winnen.

s.stok @Bardman01 • 20 november 2017 12:54

Heb je het certificaat verwijderd of het vertrouwen ingetrokken? Als hem verwijderd kan deze bij een update weer teruggekomen. Eenmaal ingetrokken (gemarkeerd als niet vertrouwd) zou hij niet terug mogen komen

Bardman01 @s.stok • 20 november 2017 13:29

Zal ik eens proberen. Ik heb ze verwijdert maar niet weggegooid. Dus geëxporteerd.

supersnathan94

Internet

@Bardman01 • 20 november 2017 16:47

Exporteren != verwijderen in computer land. Je maakt dan meestal een kopietje om het ergens anders te kunnen converteren om te importeren. Meestal een engels werkwoord +eren.

supersnathan94

Internet

@Bardman01 • 21 november 2017 18:05

Een export is in vrijwel alle gevallen geen echte export maar een convert to <een of andere bekende standaard> en save as.

Remz @Bardman01 • 20 november 2017 18:29

Dan moet je ook maar je vertrouwen in Firefox opzeggen, want die plaatst dat certificaat weer terug. Daar heeft Staat der Nederlanden geen hand in hoor.

DigitalExorcist @Bardman01 • 20 november 2017 23:03

Ik werk pas 20 jaar, mocht pas aan de slag op mn 18e anders had ik t wel eerder gedaan ook....

Ik ben kritisch op de overheid en je moet sowieso scherp blijven. Maar “wantrouwen”? Nee, daar heb ik nog geen reden voor gehad. Behalve wat IT-projecten betreft en het feit dat ze nog niet eens in staat blijken om een metrotunneltje onder een gat als Amsterdam door te graven.

[Reactie gewijzigd door DigitalExorcist op 25 juli 2024 14:19]

Superstoned @DigitalExorcist • 23 november 2017 10:13

Sommige mensen missen gewoon historisch en globaal perspectief op hoe goed we het hier hebben. Een uitkeringsmoeder is beter af vandaag dan half Nederland was 100 jaar geleden. Ik wil niet zeggen dat het perfect of zelfs goed genoeg is maar alles weg willen gooien omdat er problemen zijn is als het afbranden van een huis omdat er een ruit kapot is...

CH4OS @Bardman01 • 20 november 2017 11:13

Het oude ceritificaat had inderdaad een dergelijke benaming. Tegenwoordig valt het echter onder Logius en heet de Certificate Authority Staat der Nederlanden.

Deze certificate zit echter nog wel in de chain naar mijn weten. Het is dan dus ook niet zo gek dat dit certificaat gewoon terugkomt.

rbr320 20 november 2017 10:45

Ik heb geen geen certificaten voor domeinen bij StartCom lopen, dat doe ik via Let's Encrypt, maar ik heb wel een gratis persoonlijk certificaat via deze organisatie voor het inloggen op (web)services. Weet iemand hier een alternatief voor?

CH4OS @rbr320 • 20 november 2017 11:14

Dat persoonlijke certificaat is om in te loggen op hun website. Althans, daar had ik hem voor. Voor andere websites was dat certificaat dan ook niet geldig, omdat enkel zij de private key hebben van dat certificaat. Voor andere sites zul je dus een ander certificaat moeten maken.

EDIT: Ik zie dat bijvoorbeeld Comodo dit soort certificaten ook aanbied, echter niet gratis, voor zo'n €17,- per jaar.

[Reactie gewijzigd door CH4OS op 25 juli 2024 14:19]

freaky @CH4OS • 20 november 2017 11:23

?

Het hele idee achter een private key is, je raad het nooit, dat ie private is. Als een CA jouw private key heeft, dan is er iets hopeloos mis gegaan met de aanvraag...

CA's horen NOOIT jouw private key te zien.

CH4OS @freaky • 20 november 2017 11:36

Euh, ik weet niet of je het door hebt, maar dit gaat over een ander soort certificaat, namelijk een identiteits certificaat, geen certificaat voor SSL/TLS op websites. Het dient dus een totaal ander doel dan dat jij in gedachten lijkt te hebben. In het geval van rbr320 is dus StartCom degene die authenticeert dat hij zegt wie hij is en heeft daarom dus de private key hiervoor nodig.

Ik heb zelf ooit StartCom ook gebruikt, vandaar.

[Reactie gewijzigd door CH4OS op 25 juli 2024 14:19]

Nijn @CH4OS • 20 november 2017 12:45

CH4OS, ik vrees dat je echt niet doorhebt hoe certificaten en de achterliggende asymmetrische encryptietechnieken werken.

Ik kan een self-signed certificaat hebben met een private en public key. Die public key geef ik aan jou, de private key geef ik nooit uit handen. Als ik met mijn private key iets onderteken, kun jij met mijn public key verifiëren dat het daadwerkelijk met mijn private key ondertekend is. Zonder ooit mijn private key te zien of terug te kunnen rekenen wat mijn private key is. Daar is geen CA bij nodig en is geen verdere controle via mijn pc voor nodig. Ik kan mijn bericht + ondertekening voor je uitschrijven en vervolgens mijn private key vernietigen. Dan nog kun jij het bericht verifiëren.

Een certificaat van bijvoorbeeld StartCom is een certificaat waarvan de public key die ik jou geef ook ondertekend is door StartCom. StartCom bevestigd daarmee dat (bijvoorbeeld) de naam in mijn public key overeenkomt met de naam op mijn paspoort. Jij kunt dat verifiëren omdat jij ook de public key van StartCom hebt, en dus die ondertekening kunt verifiëren. Ook daarvoor is geen enkel contact met StartCom nodig. Wederom kunnen de private keys van zowel mij als StartCom al lang verloren zijn gegaan, dan nog kun jij het bericht verifiëren.

Ik gebruik een 'persoonlijk' certificaat om firmware te ondertekenen. De apparatuur die die firmware ontvangen hebben enkel mijn public key en géén verbinding met het Internet. Werkt prima en veilig.

[Reactie gewijzigd door Nijn op 25 juli 2024 14:19]

T_E_O @CH4OS • 20 november 2017 11:54

Dan nog zou juist alleen de gebruiker die private key moeten hebben. De gebruiker kan het certificaat aan StartCom "laten zien" en door middel van een rekensommetje bewijzen dat hij ook de bijbehorende private key in bezit heeft. StartCom heeft die private key normaal gesproken niet nodig.

CH4OS @T_E_O • 20 november 2017 12:27

Het gaat er om dat er iemand anders kan bevestigen die ik zeg dat ik ben. Anders heeft het natuurlijk totaal geen nut, als ik mijzelf moet bevestigen wie ik ben. Dan heb je daarover 0 zekerheid natuurlijk.

Vergeet ook niet dat een desktop PC makkelijker te compromiteren is dan een server van een CA en dat IP-adressen van desktop PC's nogal eens veranderen en je dus daarvan niet afhankelijk wil zijn.

Nogmaals; het gehele doel van zo'n certificaat is iets anders dan een SSL/TLS-certificaat voor websites.
Mijn voorbeeld over SSH-keys heb ik weggehaald, die is achteraf gezien eigenlijk ook niet echt slim van me geweest.

[Reactie gewijzigd door CH4OS op 25 juli 2024 14:19]

.oisyn Moderator Devschuur® @CH4OS • 20 november 2017 13:34

Dan nog klopt het niet wat je zegt. Van je eigen identiteitscertificaat bezit jij je eigen private key. Dat is voor een cert voor een website echt niet anders. De daadwerkelijke controle berust op het feit dat jouw persoonlijke certificaat ondertekend is door een vertrouwde partij, de CA. De CA heeft een eigen cert met een eigen private key die alleen zij hebben.

Kan iemand anders zich als jou voordoen als die persoon jouw private key heeft? Ja, dat kan. De hele beveiliging van PKE is gestoeld op het feit dat die private keys onder geen beding mogen worden uitgelekt. De relevantie van je verhaal over dat de PC van een persoon makkelijker te compromitteren is ontgaat me een beetje. Uiteindelijk zal de persoon *iets* moeten hebben om te kunnen bewijzen dat hij zichzelf is, ook als StartCom in dit geval over jouw private key zou beschikken. Dat *iets* kan dan net zo goed uitlekken.

Tozz @CH4OS • 20 november 2017 12:50

Maakt niet uit over welk type het gaat. Private keys zijn private en horen niet in iemand anders zijn bezit te zijn.

Zer0 @CH4OS • 20 november 2017 12:21

Vergelijk het een beetje met SSH-keys

En ook bij SSH houd je de private key als gebruiker, en staat de public key op de server....

CH4OS @Zer0 • 20 november 2017 12:27

Eigenlijk is het verkeerd geweest om dat aan te halen, bedenk ik mij nu, ik heb het daarom weggehaald uit mijn reactie.

Bij SSH kan dat prima elke keer vanaf/naar de PC waarmee je wilt verbinden. Je hebt dan op dat moment immers die verbinding. Voor een authentication certificaat werkt het echter anders.

Voor deze certificaten kan dat niet tenzij je jouw PC 24 uur per dag aan laat staan en als jouw PC ook een CA is. Die kans lijkt mij echter vrij klein en moet je ook niet willen, want dat (zoals dat mooi in het Engels gezegd wordt) 'beats the purpose' van een certificate chain.

Het lijkt mij ook niet handig om daarvoor jouw PC constant aan te moeten hebben staan. Bedenk je daarbij ook dat het het IP-adres van gebruikers op internet nog best eens wil veranderen (je hebt immers niet altijd een static IP), dus praktisch is het ook al niet om er naar toe te gaan verbinden.

Al met al is het dus niet handig om persoonlijke (authentication) certificaten lokaal op eigen PC te hebben en is het logischer om dat via de CA te doen die het certificaat uitgegeven heeft of jouw (persoons) gegevens gecontroleerd heeft om jouw identiteit vast te kunnen stellen.

Anders is het nogal raar dat je zelf moet bevestigen wie je zegt te zijn, toch? Dan zou ik een certificaat kunnen aanmaken, zeggend dat ik Zer0 ben, terwijl dat niet zo is. Maar hey, het wordt bij mijzelf ook nog eens bevestigd ook, dus het zal wel kloppen dan, toch?

Zie je het al voor je, tegenover oom agent? Ik vind het prima hoor, als ik mijn identiteit moet bevestigen, ga ik voortaan wel overal roepen dat ik Zer0 ben, goed?

Eigenlijk is het een soort digitale identiteitskaart. Daarbij bevestigd de overheid (een derde partij dus) jouw identiteit immers en niet jijzelf.

[Reactie gewijzigd door CH4OS op 25 juli 2024 14:19]

Zer0 @CH4OS • 20 november 2017 12:58

Zojuist even mijn certificaat van Startcom opgevraagd, en drie keer raden wat er staat bij de eigenschappen.... https://tweakers.net/ext/f/Tqhch2jk6TT5DtJhIYOzEmxP/full.png

CH4OS @Zer0 • 20 november 2017 13:10

Ik kreeg destijds bij StartCom een paar dingen. De certificate en chain voor het ssl certificaat voor de site en 1 certificaat bestand voor mijn identity. Over welk certificaat heb jij het nu, want dat kan ik niet uit jouw screenshot opmaken.

[Reactie gewijzigd door CH4OS op 25 juli 2024 14:19]

Zer0 @CH4OS • 20 november 2017 13:12

Het identity certificaat. daar hebben we het toch over

CH4OS @Zer0 • 20 november 2017 13:14

Ah oke. Vreemd dat ik destijds nooit de private key heb gehad. Is wel zo'n 3 a 4 jaar geleden intussen. Kan mij namelijk ook nog wel andere berichten herinneren van StartCom / StartSSL.

[Reactie gewijzigd door CH4OS op 25 juli 2024 14:19]

rbr320 @CH4OS • 20 november 2017 13:25

Dat het certificaat niet geldig is op andere sites is omdat de meeste sites niet de service bieden dat je met een persoonlijk certificaat kan inloggen. Er zijn echter andere services die daar wel gebruik van maken, zoals Mumble. Dat is dan ook waar ik het voor gebruik, ik log daar in zonder dat ik een melding krijg dat mijn certificaat self-signed is.

Bardman01 @rbr320 • 20 november 2017 10:48

Weet je het zeker want in firefox zitten er standaard een stel in.... Dus ga ik er van uit dat je bedoeld voor je eigen server(s) ?

The Zep Man

Internet
Netwerk en systeembeheer
Mozilla

@Bardman01 • 20 november 2017 10:56

rbr320 bedoelt dat hij een certificaat heeft voor client-side authentication (naar de server). Die zitten standaard niet in je browser.

[Reactie gewijzigd door The Zep Man op 25 juli 2024 14:19]

Bardman01 @The Zep Man • 20 november 2017 11:41

Hmm, ok. Ben nu ook bezig om mij daar verder in te verdiepen daarmee. En ook dus let's encrpt te gaan gebruiken op mijn eigen webserver. nu nog een goed (powershell) script of progje dat de certificaten installeert en bijhoud, want handmatig is veel werk.

rbr320 @Bardman01 • 20 november 2017 13:23

Voor Let's Encrypt op Windows is volgens mij inderdaad een (PowerShell) script beschikbaar dat het ACME protocol implementeert, waardoor de certificaten automatisch in de webserver worden geïnstalleerd en worden vernieuwd als dat nodig is. Bij Let's Encrypt is dat uiterlijk eens in de 90 dagen, maar 60 dagen wordt aangeraden.

Wat ik bedoelde is inderdaad zoals @The Zep Man zegt een certificaat voor client-side authenticatie. ik gebruik dit eigenlijk voornamelijk om in te loggen op mijn Mumble server die dan niet klaagt dat je certificaat self-signed is.

CH4OS @rbr320 • 20 november 2017 14:28

Voor Let's Encrypt op Windows is volgens mij inderdaad een (PowerShell) script beschikbaar dat het ACME protocol implementeert, waardoor de certificaten automatisch in de webserver worden geïnstalleerd en worden vernieuwd als dat nodig is. Bij Let's Encrypt is dat uiterlijk eens in de 90 dagen, maar 60 dagen wordt aangeraden.

Sterker nog; ze raden aan om het renew script dagelijks te draaien, ondanks dat je maandelijks een certificaat kan vernieuwen. Dit komt doordat als de vernieuwing niet lukt, je anders nog een maand wacht en dan al gauw aan drie maanden zit.

rbr320 @CH4OS • 20 november 2017 15:18

Sterker nog: als je certbot installeert via de repositories van Ubuntu 16.04 dan zet deze een systemd timer die 2 keer per dag het commando "certbot renew" aftrapt. Ik kwam daar achter toen ik in /var/log/letsencrypt ging kijken om te zien wat de uitvoer was van mijn eigen gemaakte dagelijkse cron-job en een hele hoop logfiles aan trof. Die cron-job heb ik toen maar meteen uit gezet, was blijkbaar overbodig geworden.

[Reactie gewijzigd door rbr320 op 25 juli 2024 14:19]

CH4OS @rbr320 • 20 november 2017 15:34

Op Debian heb ik zelf handmatig cronjobs moeten toevoegen onder crontab -e, die juist niet lijken te werken. Een andere cronjob voor renewal van certificaten heb ik nog niet gezien, maar zal het is uitzoeken dan. Ik denk overigens niet dat die er is, kreeg gisteren (toevallig) de melding dat de certificaten niet goed waren, vernieuwd, NginX herstart en opeens was alles wel, hahaha!

rbr320 @CH4OS • 20 november 2017 15:49

Ik had het volgende in /etc/cron.daily en dat werkte prima. Aanpassen waar nodig uiteraard.

#!/bin/bash

LE_DIR=/usr/bin
LE_BIN=certbot
#LE_DIR=/opt/letsencrypt
#LE_BIN=certbot-auto
COMMAND=renew
OPTIONS="--no-self-upgrade"
LOGDIR=/var/log/letsencrypt
LOGFILE=renewal.log

[ -x ${LE_DIR}/${LE_BIN} ] || exit 0

echo "### EXECUTING COMMAND ${0} ###" &>> ${LOGDIR}/${LOGFILE}
${LE_DIR}/${LE_BIN} ${COMMAND} ${OPTIONS} | ts "%F %T" &>> ${LOGDIR}/${LOGFILE}
if [ $? -ne 0 ] ; then
echo "### RENEW ATTEMPT UNSUCCESSFUL ###" &>> ${LOGDIR}/${LOGFILE}
else
echo "### RENEW ATTEMPT SUCCESSFUL ###" &>> ${LOGDIR}/${LOGFILE}
fi

[Reactie gewijzigd door rbr320 op 25 juli 2024 14:19]

Euronitwit

@rbr320 • 20 november 2017 15:26

Plesk Onyx heeft Let's Encrypt als ingebouwde extensie.
Werkt vlekkeloos. De certificaten worden ook automatisch door Let's Encrypt zelf verlengd.

CH4OS @Bardman01 • 20 november 2017 13:12

Op Linux bieden zij certbot aan. Is een git repo van, het is geschreven in Python. Of er Windows binaries van zijn weet ik niet, anders is Python voor Windows zo geïnstalleerd.

CH4OS @Bardman01 • 20 november 2017 14:22

Nou, werken...

Ik krijg hier een "NET::ERR_CERT_AUTHORITY_INVALID" error. Maar mooi dat er voor Windows binaries zijn!

Je kunt overwegen het aan te vullen met een CAA DNS-record, als de hoster daar mogelijkheden voor heeft.

[Reactie gewijzigd door CH4OS op 25 juli 2024 14:19]

Bardman01 @CH4OS • 20 november 2017 22:39

Hmm, hem allleen intern getest en dat gaat nog steeds goed. En een CAA zou niet nodig moeten zijn. Zou hem zelf kunnen maken, eigen dns server, maar zou denk ik niets uitmaken. Maar ik ben blij met je melding.

Ik heb nog even tijd en datum nagekeken staan ook goed, en die error schijnt het meest bij chrome browser voor te komen. Zal ik morgen eens installeren

CH4OS @Bardman01 • 20 november 2017 23:36

CAA gaat de melding ook niet oplossen. Dat verteld op DNS niveau wie de CA's zijn voor het domein, geeft dus wat extra beveiliging, in een noten dop.

Toen ik de melding eerder vandaag postte was dat inderdaad met Chrome, maar met Firefox krijg ik de foutmelding ook.

[Reactie gewijzigd door CH4OS op 25 juli 2024 14:19]

Bardman01 @CH4OS • 21 november 2017 10:16

Het lijkt erop dat hij extern het verkeerde certificaat gebruikt. ik heb uiteraard ook een selfsigned cert maar ook één van Let's Encript. Waarom dat nu fout gaat moet ik uitzoeken. Vreemd want je moet bij de bindings wel het goed certificaat kiezen. Straks eens kijken.

IDD hij probeert extern het cert van mijn exchange server te gebruiken. raar misschien toch een dns verhaal.verder....

[Reactie gewijzigd door Bardman01 op 25 juli 2024 14:19]

Auredium 20 november 2017 10:53

Was ook te verwachten. Certificaat autoriteiten horen betrouwbaar te zijn maar in werkelijkheid is de betrouwbaarheid vaak niet getoetst. Als een autoriteit dan zomaar certificaten gaat uitdelen die gaan naar mensen die niet de eigenaar zijn van een domein dan gaat er iets fout. In het geval van structureel falen moet er iets gebeuren om de certificaatautoriteit af te straffen. In mijn ogen is het terecht dat Google en Mozilla hun vertrouwen deden opzeggen. Het gevolg is dat Startcom moet stoppen. Dat is een mooi signaal naar certificaat autoriteiten om de kwaliteit en controle van hun diensten te waarborgen.

Certificaten zijn overigens niet heilig. Providers doen zo nu en dan nog wel eens wat met de verbinding van hun klanten rommelen. I.m.o. zouden ook providers goed moeten worden getest in hun doen en laten. Er zijn zat tekens dat providers van plan zijn om de browsergegevens van hun klanten door te gaan verkopen. Je kan dan naar een VPN gaan maar dan leg je het probleem van vertrouwen weer bij de VPN. Dit soort zaken die toch best belangrijk zijn dienen enige regulatie te hebben en gevolgen bij falende praktijken.

bbg0

@Auredium • 20 november 2017 11:32

Certificaten zijn overigens niet heilig. Providers doen zo nu en dan nog wel eens wat met de verbinding van hun klanten rommelen.

Als je een beveiligde verbinding hebt opgezet met een server, dan kan je provider daar niets aan veranderen. Als ze dat wel proberen zie je een certificaat-fout. Dat is het mooie aan beveiligde verbindingen: tussenpersonen kunnen niet meeluisteren of manipuleren.

s.stok @bbg0 • 20 november 2017 12:50

Ik denk dat hij een mitm aanval bedoeld met een vertrouwde CA (zoals sommige geheime diensten gebruiken/van plan zijn). De CA is vertrouwd waardoor je geen foutmelding krijgt. Maar als je verder gaat kijken (wat bijna niemand doet) dan ontdek je al snel dat er iets niet klopt.

Uberprutser 20 november 2017 10:49

Ik had alleen maar problemen met de StartCom certificaten dus allemaal vervangen voor een van de grote jongens. Niet echt tof public facing websites met een "untrusted" note in je browser (en soms wel en soms niet).

Sebazzz

20 november 2017 12:00

Jammer, dit betekent dat ze ook stoppen met StartSSL wat een mooie en gratis manier was om je e-mail te ondertekenen met een certificaat.

[Reactie gewijzigd door Sebazzz op 22 juli 2024 15:15]

redfox314 20 november 2017 12:31

Overigens hebben sommige (AVAST ik kijk naar jou) antivirus programma's de vervelende neiging om root certificaten te installeren in je browser om daarmee https te kunnen onderscheppen en te 'virusscannen'.

s.stok @redfox314 • 20 november 2017 12:58

Dat doen ze om het verkeer te kunnen monitoren voordat het de applicatie bereikt. Simpelweg omdat deze communicatie in de netwerk laag gebeurd en niet anders worden onderschept.

Dat gezegd te hebben schakel ik dit altijd uit omdat het de ware identiteit van het certificaat verbergt en SSL EV onklaar maakt

redfox314 @s.stok • 20 november 2017 13:20

inderdaad

Verwijderd 20 november 2017 13:42

Toch een opluchting om te zien, dat er aan de reacties te zien meer mensen zijn die met de X.509 materie worstelen. Ik ben aan het leren voor een examen waar je het voor moet weten, maar heb echt meerdere websites moeten lezen om het helemaal te kunnen begrijpen. (En dan nog weet ik van sommige details niet het fijne. Er zitten hele wiskundige modellen achter waarom het veilig is)

Trommelrem 20 november 2017 11:24

StartCom was toch die partij waar je gewoon random certificaten tot in het onbeperkte kon aanvragen? Je betaalde een vast bedrag per jaar, en dan kun je werkelijk alles aanvragen, ook voor domeinnamen die je niet eens in je bezit had. In mijn jeugd veel plezier van gehad.

Blokker_1999

Internet
Netwerk en systeembeheer

@Trommelrem • 20 november 2017 13:35

Neen, er gebeurde wel een zeer basic verificatie bij hen (dacht aan de hand van 1 van de contacten in de whois data).

Op dit item kan niet meer gereageerd worden.

Certificaatautoriteit StartCom stopt vanwege verlies vertrouwen van browsers

Lees meer

IT-banen

Reacties (58)

Sorteer op:

Weergave: