Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Mozilla blijft Symantec-certificaten langer vertrouwen dan gepland

Mozilla heeft bekendgemaakt dat het Symantec-certificaten langer blijft vertrouwen dan gepland, omdat veel partijen ze nog steeds gebruiken. Het is al langer bekend dat onder andere Mozilla en Google het vertrouwen in de certificaten gaan opzeggen.

In een blogpost verwijst Mozilla naar statistieken die erop wijzen dat nog steeds meer dan één procent van de één miljoen populairste sites op internet gebruikmaakt van certificaten die zijn uitgegeven door Symantec, waar dus ook GeoTrust, RapidSSL en Thawte onder vallen. Daarom heeft de organisatie besloten de volgende fase van zijn distrust van Symantec-certificaten uit te stellen van de bèta van Firefox 63 naar de bèta van versie 64, waarvan in december de stabiele release moet uitkomen. In deze fase wordt, met enkele uitzonderingen, het vertrouwen in alle door Symantec uitgegeven certificaten opgezegd.

Door dit uitstel hoopt Mozilla sites meer tijd te geven van certificaat te veranderen. Het verwijst naar DigiCert, dat vorig jaar het certificatenonderdeel van Symantec kocht, dat gratis vervangende certificaten aanbiedt. Het vertragen van het proces moet er ook toe leiden dat minder gebruikers problemen ondervinden met sites die nog gebruikmaken van Symantec-certificaten en moet bovendien het risico voor die gebruikers verminderen. Onderzoeker Scott Helme publiceerde eerder al een overzicht met sites die nog steeds van oude certificaten gebruikmaken.

Google is van plan om het vertrouwen in de Symantec-certificaten op te zeggen met de release van Chrome 70. Deze versie van de browser moet op 16 oktober uitkomen. Google heeft nog niets bekendgemaakt over eventueel uitstel. Chrome 70 is de laatste stap in de eerder door Google bekendgemaakte planning, waarnaar ook Mozilla verwijst. Het vertrouwen in Symantec-certificaten wordt opgezegd, omdat het bedrijf onder meer ten onrechte certificaten had uitgegeven.

Google-planning voor Symantec-certificaten

Door Sander van Voorst

Nieuwsredacteur

11-10-2018 • 10:22

27 Linkedin Google+

Reacties (27)

Wijzig sortering
Jij maakt in jouw reacties steeds een onderscheid in het vertrouwen van de uitgegeven certificaten vs het vertrouwen in de root en bijbehorende bedrijfsprocessen. Die kun je in principe echter niet scheiden.

Je kan heel veel onderzoek doen om zoveel mogelijk dingen uit te sluiten, maar er blijft toch een risico over. Als de CA niet te vertrouwen is weet je nooit 100% zeker wat er precies is gebeurd. Waarom zou het anders alsnog nodig zijn het vertrouwen in de CA op te gaan zeggen in de browsers? Dan konden ze het toch ook prima zo laten en op termijn als de certificaten allemaal verlopen zijn ben je er ook vanaf? Nee, je wil er z.s.m. vanaf.

Ik snap je punt dus echt wel, en er zit ook wel een beetje wat in, in deze hele specifieke situatie, maar het basis principe is: root niet ok = certificaten niet ok. En jouw reacties lijken een ander beeld voor te stellen, zeker voor mensen die de kleine nuances van PKI misschien wat minder kennen.
Ik snap het even niet, je zegt dat de uitgegeven certificaten niet goed zijn, maar dan zeg je ineens:
Als de CA niet te vertrouwen is weet je nooit 100% zeker wat er precies is gebeurd.
Dus zijn het nou de certificaten die niet goed zijn of de CA?

Wat je vergeet is dat de CA niet het certificaat is, de CA authentificeert alleen het certificaat. Dat wil dus zeggen dat het niet mogelijk is voor iemand met certificaat A om te zeggen dat hij eigenlijk certificaat B heeft, dat is ook de enige manier om schade aan te richten.

De bestaande certificaten zijn niet gevaarlijk, als in er is systematisch niks mis met de uitgegeven certificaten. Er kunnen geen nieuwe certificaten bij komen, dus ook al zou er ergens nog een sub-CA zijn die cross-signed iets voor elkaar heeft gekregen, dan kan die nog steeds niet worden gebruikt om iets nieuws aan te maken.

Dat er iets mis is met de uitgegeven certificaten was nooit ter sprake, het is dat Symantec audit na audit na audit heeft gefaald dat het vertrouwen in hun is opgezegd.

Wat jij zegt is, Symantec heeft zijn bedrijfsprocessen niet op orde dus dan zijn alle certificaten die ze hebben uitgegeven ineens gevaarlijk zijn en schade zouden veroorzaken. Dat is dan weer een brug te ver. Als er iets was waarmee je schade aan kan richten, dan was dat tot nu toe allang naar voren gekomen. Een maandje meer of minder maakt dan ook niks meer uit en is alleen bevorderlijker voor een overgang.

[Reactie gewijzigd door SizzLorr op 11 oktober 2018 19:20]

Wij hadden ook een RapidSSL certificaat en kregen ook netjes een bericht dat het voor ergens september vervangen moest worden. Kleine moeite om een reissue aan te vragen.
Daarna doorgevoerd in onze omgeving (zowel websites als RDP) en alles draait prima verder en geen niet vertrouwde meldingen.
Als een (groot) bedrijf dit nog niet aangepast heeft dan zegt dat iets over het beheer.
Chrome hanteert voor reguliere SSL/TLS certificaten een blacklist, niet een whitelist. De bron is inderdaad altijd het host OS. In het geval van Symantec wordt daar dus aan de blacklist een aantal entries toegevoegd om CA's die wel door het host OS worden vertrouwd (zoals bijv, Apple in dit geval) alsnog te blokkeren. Waarom het bij jou met de beta nog niet werkt, geen idee.

Overigens zitten zowel Apple (zie https://support.apple.com/en-us/HT208860) en Microsoft (zie https://cloudblogs.micros...ymantec-tls-certificates/) op hetzelfde pad. Alleen de tijdlijnen verschillen lichtjes.
Bij mij draait: Versie 70.0.3538.54 (Officiële build) beta (64-bits), misschien dat ze ook de tijdlijnen aan het aanpassen zijn?

[Reactie gewijzigd door :murb: op 11 oktober 2018 12:38]

Jammer. Op deze manier blijven we bezig. Bedrijven hebben meer dan genoeg tijd gehad om hun certificaten aan te passen. Na deze uitgestelde datum krijgen we geheid precies hetzelfde probleem.

Naar mijn opinie moet je hard optreden met dit soort dingen. Bedrijven worden dan geforceerd hun certificaten te updaten. Een full-screen melding waarin beschreven word dat certificaten nog niet geupdated zijn voor een website, en waarvoor dat nodig is, met de mogelijkheid tot gemakkelijk doorklikken zou wellicht een mooie middenweg kunnen zijn tot de uitgestelde datum.
Hopelijk doet Mozilla ze toch wat sneller in de ban - iets is veilig of iets is het niet. Als het niet is - moet het weg, asap.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True