Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Mozilla blijft Symantec-certificaten langer vertrouwen dan gepland

Mozilla heeft bekendgemaakt dat het Symantec-certificaten langer blijft vertrouwen dan gepland, omdat veel partijen ze nog steeds gebruiken. Het is al langer bekend dat onder andere Mozilla en Google het vertrouwen in de certificaten gaan opzeggen.

In een blogpost verwijst Mozilla naar statistieken die erop wijzen dat nog steeds meer dan één procent van de één miljoen populairste sites op internet gebruikmaakt van certificaten die zijn uitgegeven door Symantec, waar dus ook GeoTrust, RapidSSL en Thawte onder vallen. Daarom heeft de organisatie besloten de volgende fase van zijn distrust van Symantec-certificaten uit te stellen van de bèta van Firefox 63 naar de bèta van versie 64, waarvan in december de stabiele release moet uitkomen. In deze fase wordt, met enkele uitzonderingen, het vertrouwen in alle door Symantec uitgegeven certificaten opgezegd.

Door dit uitstel hoopt Mozilla sites meer tijd te geven van certificaat te veranderen. Het verwijst naar DigiCert, dat vorig jaar het certificatenonderdeel van Symantec kocht, dat gratis vervangende certificaten aanbiedt. Het vertragen van het proces moet er ook toe leiden dat minder gebruikers problemen ondervinden met sites die nog gebruikmaken van Symantec-certificaten en moet bovendien het risico voor die gebruikers verminderen. Onderzoeker Scott Helme publiceerde eerder al een overzicht met sites die nog steeds van oude certificaten gebruikmaken.

Google is van plan om het vertrouwen in de Symantec-certificaten op te zeggen met de release van Chrome 70. Deze versie van de browser moet op 16 oktober uitkomen. Google heeft nog niets bekendgemaakt over eventueel uitstel. Chrome 70 is de laatste stap in de eerder door Google bekendgemaakte planning, waarnaar ook Mozilla verwijst. Het vertrouwen in Symantec-certificaten wordt opgezegd, omdat het bedrijf onder meer ten onrechte certificaten had uitgegeven.

Google-planning voor Symantec-certificaten

Door Sander van Voorst

Nieuwsredacteur

11-10-2018 • 10:22

27 Linkedin Google+

Reacties (27)

Wijzig sortering
moet bovendien het risico voor die gebruikers verminderen.
Vergroten ze niet het risico voor gebruikers door certificaten die eigenlijk niet te vertrouwen zijn te accepteren?
Eigenlijk wel. Een beetje een "too big to fail" scenario. Kennelijk denkt men dat de schade door deze certificaten te accepteren minder zal zijn dan eventuele schade die ontstaat bij het tijdelijk onbereikbaar zijn van deze websites.

Persoonlijk zou ik het anders aanpakken: de certificaten blokkeren in de volgende update van Firefox en die vervolgens vertraagd uitrollen. Op die manier zet je de betreffende websites wel onder druk om de boel aan te passen maar worden ze niet meteen geconfronteerd met miljoenen e-mails en klachten.
gewoon aanpassen; is toch niet probleem van browser dat site(s) hun shit niet op orde hebben?
Nou ja, eigenlijk wel. De grote browsers hebben effectief mede verantwoordelijkheid dat sites het ook blijven doen. Stel dat ze bijvoorbeeld ineens gaan besluiten dat hun engines zich 100% strak aan de HTML en CSS RFCs gaan houden, dan stopt ongeveer 100% van de websites ermee of worden op z'n minst verminderd bruikbaar.
Zo heeft op het moment van schrijven tweakers.net 24 waarschuwingen over ongeldige HTML en 3 fouten en 342waarschuwingen voor de gebruikte CSS

(uiteraard zorgt niet elke fout voor het niet functioneren van een site, want volgens mij is er ook in diezelfde RFCs opgenomen hoe er met ongeldige HTML/CSS omgegaan moet worden, maar het zegt wel iets)

Als door het intrekken van die certificaten 1% van de miljoen populairste sites niet meer werkt, is dat natuurlijk gigantisch veel. Mozilla heeft dus de afweging gemaakt tussen 'het echte effectieve risico' en 'de bruikbaarheid van het internet' (gechargeerd natuurlijk).

edit:stukke link

[Reactie gewijzigd door lenwar op 11 oktober 2018 11:22]

Een goed inzicht waarop ik wil verder borduren.

Ikzelf ben erg actief in websites die de natuur van deze wereld beschrijven. Dit zijn vaak krakkemikkige websites in elkaar gezet door hobbyisten. Velen zijn jaren oud en hebben zo goed als nul onderhoud. Ondanks de gebreken hebben de websites hun nut door de informatie die ze bevatten, die nergens anders te verkrijgen is.

Welnu, door de jaren heen zie je deze websites breken. Een voor een vallen ze om en worden steeds minder functioneel. Maps integratie, HTTPS, welke verandering dan ook, telkens wordt er weer een stukje functionaliteit wat eerst wel werkte, bruut veranderd waardoor het ineens niet meer werkt. En zo gaan beetje bij beetje die websites verloren.

Ja, we kunnen nu ons gelijk halen door te stellen dat dat het probleem is van die websites, maar dat is kortzichtig en ook behoorlijk wreed. Browser bouwers en tech giganten gaan er blijkbaar van uit dat achter iedere website een competent team zit wat voortdurend de "latest and greatest" aan het implementeren is, maar dat is vrijwel nooit het geval. Er is geen tijd of geld voor voortdurend onderhoud. Men gaat uit van het oude web principe waar indien je iets werkend opleverd, dit in principe zou moeten blijven werken zonder voortdurend onderhoud.

Dit principe wordt de laatste jaren met voeten getreden. Men breekt voordurend het web, verwacht dat de hele wereld er in meegaat, en wie dat niet doet, die heeft gewoon dikke pech. Een slechte zaak.
De W3C Validator is helaas niet altijd 100% en HTML kan tegenwoordig prima worden aangeven met de DOCTYPE tag voor de geschikte (opmaak) versie.

Dit probleem gaat veel verder dan wat 'foute opmaak', namelijk de veiligheid van het gebruiken van toch wel belangrijke websites met SSL/TLS. Voor mij zouden browsers hierin veel verder mogen gaan, dus ook (buiten certificaten) oude of onveilige protocollen en versies niet meer ondersteunen. Het is eigenlijk belachelijk dat ik verschillende tools en refers nodig heb om te checken wat nu de veilige/beste opties zijn voor het instellen van SSL/TLS. Dus ik kan mij wel van een kant wel voorstellen waarom sommige sites achterlopen, al snap ik het weer niet dat hierin dan niks aan gedaan wordt voordat het te laat is.
Uiteraard is wat foute opmaak veel minder belangrijk dan veiligheid, ik gaf alleen maar aan dat de browserboeren ook goed moeten oppassen om de bruikbaarheid van het internet en dergelijke te blijven garanderen.

Je haakt overigens een mooi voorbeeld aan met die protocollen. Stel nou dat alle gangbare browsers en besturingssystemen nu ondersteuning voor SSLv3 en TLSv1.0 en TLSv1.1 zouden stoppen (SSLv3 is volgens mij al aardig onderweg), dan durf ik er om te wedden dat er heel veel (ouder) IoT spul niet meer zal werken. Ook niet in je eigen netwerkje.. Ja, dan zouden al die bedrijfjes die ooit IoT-spul gebouwd hebben al hun spullen van nieuwe(re) firmware moeten voorzien, en dan moet je maar hopen dat die bedrijfjes nog uberhaupt bestaan.

Wat mij betreft is het voor browsers een betere manier om af te dwingen dat als er een hogere vorm van encryptie beschikbaar is, dat die dan altijd gepakt wordt en dat neerwaardse protocolonderhandelingen niet geaccepteerd worden (op wat voor manier dan ook).
Je kan dan natuurlijk stellen dat je dan nooit meer van die verouderde protocollen af komt, maar je moet je ook afvragen hoe spannend mijn wasmachine of koelkast in mijn eigen netwerk nou echt zijn.

Voetnoot:
Ik ben er trouwens een grote voorstander van dat er een Europese regel moet komen dat alle fabrikanten van (consumenten)electronica die ook maar iets op internet doen (van telefoons en tablets tot koelkasten en wasmachines) verplicht moeten worden hun apparatuur 'velig te houden' gedurende de redelijke verwachtte levensduur van het apparaat en dat dat ook nadrukkelijk op de verpakking moeten vermelden.

Een paar simpele voorbeelden van mij persoonlijk - Dus niet representatief voor het algemene probleem:
- Mijn iPad 2 (2011 - doet het verder prima) heeft sinds 2016 geen update gehad
- Mijn Samsung wasmachine (2015) nog nooit
- Mijn LG televisie (2012) ooit één keer (hangt overigens niet aan internet omdat ik er geen redelijk doel oor heb met dit ding :) )
+ marktaandeel, ze willen geen marktaandeel verliezen doordat bepaalde websites niet bereikbaar zijn. Voor zoiets zouden Mozilla en Chrome moeten samenwerken, als ze afspreken om bij de eerstvolgende versie het te bannen en dat ze dezelfde dag die nieuwe versie publiceren...
is toch niet probleem van browser dat site(s) hun shit niet op orde hebben?
De vraag is wat consumenten doen als Firefox ze niet meer toestaat om te internnetbankieren bij ING.
  • Klagen bij ING (enige juiste actie)
  • Handmatig certificaten toevoegen (zouden jij en ik wellicht doen, niet zo veilig)
  • Een andere browser gebruiken (voor de meeste mensen het makkelijks, maar net zo onveilig als de tweede optie en een stuk minder aantrekkelijk voor Mozilla)
Chrome loopt al voor. Mozilla zal hierdoor al wat Chrome-gebruikers binnenhalen.

Overigens, als ik naar de ING-site ga, dan zie ik een entrust-certificaat, en dat heeft niets met Symantec van doen.

[Reactie gewijzigd door Jester-NL op 11 oktober 2018 11:03]

[...]

De vraag is wat consumenten doen als Firefox ze niet meer toestaat om te internnetbankieren bij ING.
[list]
• Klagen bij ING (enige juiste actie)
Dat is goed.
• Handmatig certificaten toevoegen (zouden jij en ik wellicht doen, niet zo veilig)
Een niet-technische gebruiker (=grootste risicogroep) gaat dat niet doen. Geen probleem.
• Een andere browser gebruiken (voor de meeste mensen het makkelijks, maar net zo onveilig als de tweede optie en een stuk minder aantrekkelijk voor Mozilla)
Welke andere browser? Chrome heeft het tegen die tijd al geblokkeerd, en ik kan mij voorstellen dat Microsoft's certificate store niet zal achterblijven (voor die paar Edge/IE gebruikers).

Laat organisaties het maar voelen. Dat doet eerst even pijn, maar daarna leren ze dat dit soort zaken kunnen gebeuren. Daarop worden dan processen ingericht om dit voortaan sneller op te lossen.

[Reactie gewijzigd door The Zep Man op 12 oktober 2018 14:14]

Zelf zou ik een andere bank uitzoeken. Ik betwijfel dat klagen enig zin heeft want daar luisteren ze enkel naar als genoeg mensen hierover klagen en minstens 90% van hun klanten is functioneel digibeet. ;)
Niet dat andere certificaten zaligmakend zijn maar als ze zoiets als niet juist behandelen dan plaats ik mijn vraagtekens bij de zorgvuldigheid waarmee ze handelen en hun kennisniveau.

[Reactie gewijzigd door CHBF op 11 oktober 2018 16:46]

Ga nou aub niet doen alsof de certificaten zelf gevaarlijk zijn of schade kunnen veroorzaken, dat is absoluut niet het geval en je kan de certificaten gebruiken en vertrouwen. Het probleem zijn niet de certificaten, maar het bedrijfsproces van Symantec. Over de jaren zijn ze meerdere keren over de scheef gegaan en daardoor heeft Chrome (en daarna Mozilla) het vertrouwen in het bedrijf opgezegd (niet de certificaten). Pas als er een lek was van het root certificaat (o.i.d.) zou zoiets ter spraken zijn, dat is het niet en de certificaten zijn te vertrouwen.

https://wiki.mozilla.org/CA:Symantec_Issues

Sowieso, nieuwe certificaten worden al niet meer geaccepteerd dus Symantec kan geen nieuwe foute certificaten uitgeven. Het gaat hier om het grote aantal bestaande certificaten (bedenk wel dat in 2015, voor dit alles, Symantec volgens Netcraft 1/3 van alle certificaten uitgaf) waar verder niks mis mee is. Alleen het vertrouwen in de root is opgezegd, waardoor op termijn deze certificaten niet te valideren zijn.
Hiermee zit je er echt naast. Een Public Key Infrastructure (PKI) is gebaseerd op een Chain of Trust. Je moet de hele keten vanaf de root CA (inclusief alle bijbehorende processen en procedures), met alle tussenliggende (intermediate) CA's vertrouwen, om het eind certificaat te kunnen vertrouwen.

Als de root niet betrouwbaar is, zoals hier het geval is, dan kun je de rest dus ook niet "gewoon" vertrouwen. Dat het technisch wel werkt is uiteraard een ander verhaal.
Volgens mij mis je totaal wat ik zeg. Er wordt gezegd dat de bestaande certificaten gevaarlijk zouden zijn en schade zouden veroorzaken. Dat zijn ze absoluut niet en dat kunnen ze absoluut niet.

Of nieuwe certificaten van de Symantec root te vertrouwen zijn is een ander verhaal, maar zoals ik al zei kunnen ze geen nieuwe certificaten uitgeven dus dat is het probleem niet.

Dat bestaande certificaten goed en valide zijn, daar is op dit moment geen twijfel meer over mogelijk. Dat is al lang een breed uitgezocht. Twijfelachtige sub-CA's zijn opgeheven of geblokkeerd. Het gaat om het bedrijfsproces van Symantec waar het probleem ligt, niet bij de certificaten.

[Reactie gewijzigd door SizzLorr op 11 oktober 2018 11:36]

Ik sta er eigenlijk ook van te kijken hoeveel sites nog steeds een dergelijke certificaat hebben. Gebruik nightly en krijg bijna dagelijks een Certificate Error, ook bij grote instanties zoals de ING. Denk dat meeste sites niet eens weten dat ze een dergelijke certificaat hebben omdat ze meestal via een reseller worden verkocht.
Slechte zaak dat de reseller zijn zaken dan niet op orde heeft. Zowel Symantec als Digicert hebben meermaals contact opgenomen met hun resellers om de reseller over deze wijziging te informeren. Ze kunnen geen onschuld claimen.

Wij (mijn werkgever is ook reseller) kregen heel netjes een lijstje van welke certificaten er voor welke datum moesten worden vervangen. Duidelijker ga je het niet krijgen.
Over de jaren is Symantec uitgegroeid tot de grootste leverancier van certificaten, in 2015 gaven ze volgens Netcraft 1/3 van alle certificaten uit. Hierdoor hadden ze te maken met mega complexe constructies die over de jaren waren ontstaan. Het kan goed zijn dat een reseller een subcertificaat heeft van een subcertificaat welke cross-signed is en daar weer een subcertificaat van. Ik denk niet dat het mogelijk is om dat alles in kaart te brengen. Als er ergens in die keten iemand faalt dan heeft iedereen daarna geen weet.

Bijvoorbeeld de Federal PKI (FPKI):
https://wiki.mozilla.org/...ge_.282009_-_July_2016.29
While technical controls within the FPKI may have prevented it, Symantec had no way of knowing or controlling whether the FPKI was issuing EV certificates using Symantec's OID.
Zo zijn er nog een paar van die constructies waar Symantec een root certificaat cross-signed en hierdoor het vertrouwen bij een externe instantie legt. De externe instantie kan doen en laten wat hij wil, daar heeft Symantec verder geen zicht op.

https://wiki.mozilla.org/...28March_-_October_2016.29
Symantec issued an unconstrained sub-CA to a company called UniCredit as part of their GeoRoot program (see also Issue V). This company persistently issued certificates which were BR-noncompliant (e.g. missing SANs, missing OCSP URIs). During this time, they did not have the appropriate audits and Symantec were aware of this.

[Reactie gewijzigd door SizzLorr op 11 oktober 2018 11:32]

omdat veel partijen ze nog steeds gebruiken
Dat dit een reden is om certificaten nog te vertrouwen, is een hele kwalijke zaak.
Chrome 70 Beta op Mac blokkeert een voor mij in Nightly falende site nog steeds niet: Ekoplaza.nl (of het moet komen doordat Chrome de certificaat chain van macOS gebruikt, en niet zijn eigen (zoals Firefox doet)).

Firefox Nightly zegt:
Warning: Potential Security Risk Ahead

Nightly detected a potential security threat and did not continue to www.ekoplaza.nl. If you visit this site, attackers could try to steal information like your passwords, emails, or credit card details.

Websites prove their identity via certificates, which are issued by certificate authorities. Most browsers will no longer trust Symantec, the certificate authority for www.ekoplaza.nl.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True