Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google, Apple en Mozilla blokkeren 'afluistercertificaat' overheid Kazachstan

Google, Mozilla en Apple blokkeren het ssl-certificaat dat de overheid van Kazachstan heeft gebruikt om https-verkeer van burgers te onderscheppen. Google zegt dat het een onacceptabele poging vond om data van Chrome-gebruikers te onderscheppen.

De drie browsermakers hebben woensdag gezamenlijk laten weten om het ssl-certificaat te blokkeren in hun browsers. Daardoor werkt het certificaat niet meer in Chrome, Firefox en Safari, zonder dat mensen daar iets voor hoeven te doen; een update is niet nodig om het certificaat te blokkeren, omdat die check aan de kant van de server gebeurt.

De overheid van Kazachstan verplichtte vorige maand providers om burgers het ssl-certificaat, Qaznet Trust Network, te laten installeren om zo toegang te krijgen tot internet. De overheid hield onder meer verkeer naar Facebook, Twitter en Google in de gaten. Providers gaven klanten instructies hoe het te installeren is. De overheid van het land zei al gestopt te zijn met de surveillance via het ssl-certificaat, maar de browserbouwers hebben evengoed besloten tot de blokkade over te gaan. Google zegt in een toelichting dat het een dergelijke maatregel niet licht neemt, maar dat het bedrijf het onacceptabel vindt dat de data van Chrome-gebruikers op deze manier in handen van een overheid viel.

Door Arnoud Wokke

Redacteur mobile

21-08-2019 • 19:46

53 Linkedin Google+

Submitter: Freeaqingme

Reacties (53)

Wijzig sortering
Hier hoort eigenlijk nog wel een voetnoot over de context bij. Kazachstan heeft al een tijd dit zitten testen, en 2 weken geleden aangekondigd dat de tests waren voltooid en gebruikers de CA kunnen verwijderen: https://tsarka.org/post/national-certificate-cancelled

Wat mij betreft zijn de vendors te laat en is dit vooral een publiciteitsactie.
Ik zie het ja, goede informatie! Wel raar op zich dat het maar een test was. Wat willen ze hiermee bereiken? Dat SSL verkeer op deze manier te inspecteren is, is allang bekend. Bijna elk groot bedrijf doet dat.

En voor 'staatsveiligheid' heeft het niet zoveel zin als mensen het vrijwillig moeten installeren. :? Zelfs als ze het in geval van een noodtoestand gaan verplichten, dan nog kan je er donder op zeggen dat de mensen die ze zoeken het niet gaan doen.
En voor 'staatsveiligheid' heeft het niet zoveel zin als mensen het vrijwillig moeten installeren. :?
Vrijwillig betekent natuurlijk niet altijd echt dat je het uit vrije wil doet en het ermee eens bent. De overheid van een politiestaat kan natuurlijk hun burgers opdragen om het certificaat "vrijwillig" te installeren, en doe je dat niet dan ben je automatisch verdacht.
Hier in Nederland hebben we er gelukkig zo weinig mee te maken dat we ons amper kunnen voorstellen hoe "vrijwillig" zoiets kan zijn. Ik begrijp goed hoe @GekkePrutser zich daar geen voorstelling van kan maken. Helaas heb ik zelf in andere landen gezien hoe mensen "vrijwillig" even hun huis uit konden op last van een meneer met een zonnebril of mensen die voor een "parlements"-gebouw met een pamflet rondliepen zonder omhaal in een politiebusje naar onbekende bestemming werden afgevoerd.

Begrijp daarom ook goed waarom in sommige steden in de wereld de mensen weken achtereen de straat op gaan om in hun stad hun vrijheid te behouden. Een vrijheid die wij hier zo gewend zijn dat het als vanzelfsprekend wordt gezien.

[Reactie gewijzigd door HDoc op 22 augustus 2019 22:48]

Die reden kun je al wel verzinnen natuurlijk, dat is vrijwel zeker om burgers te MITMen... Ik vind het vooral gek dat browservendors nu pas van zich laten horen nu het eigenlijk te laat is. Waarschijnlijk geeft de regering, als ze het gaan gebruiken, toch weer een nieuw certificaat af.

Overigens komt ieder apparaat tegenwoordig standaard met een hele lading overheid CA's. Ik zou iedereen aanraden die ook te verwijderen tenzij je ze echt nodig hebt.
Hoe kan een SSL certificaat het verkeer onderscheppen en vooral terugrapporteren aan de uitgever?
Het gaat erom dat het verkeer wordt gedecrypt door de overheid. Door de burgers een eigen certificaat autoriteit te laten vertrouwen kunnen ze het verkeer opnieuw versleutelen en zie je in je browser dus geen foutmelding omdat de browser de CA vertrouwt.

Op deze manier wordt in zakelijke omgevingen vaak "deep-inspection" uitgevoerd op het internetverkeer.
Niet veel mensen zullen het doen, maar als je op 'het groene slot' klikt om cert informatie te bekijken, dan zie je wel dat het de certificaten van de overheid zijn, toch? Of is het een soort extra stap in de certification chain?
Ja je kan het inderdaad wel zien. Maar je moet er goed naar zoeken, een gewone gebruiker zal dat niet snel doen.

Op mijn werk inspecteren ze ook het verkeer op deze manier, zoals @J0HAN al zegt. Als je naar een website gaat, dan maakt de proxy zelf een certificaat aan. Die heeft een eigen root certificaat en die moet je dus speciaal vertrouwen (die wordt uiteraard niet standaard meegeleverd met Windows of browsers maar wel standaard geinstalleerd door onze IT afdeling). Anders krijg je bij elke site een waarschuwing. De proxy zet dan zelf een eigen SSL verbinding op naar de site die je bezoekt.

Alles kan dus meegelezen worden, al doen ze het daar niet zozeer om maar meer om de inhoud op virussen te scannen. Ook kunnen ze op deze manier blokkeren dat je bijvoorbeeld SSH over poort 443 gebruikt. Maar ik zag wel dat ze een uitzondering maken voor sites als die van banken. Dat kan je dus mooi zien aan die certificeringsketen.

[Reactie gewijzigd door GekkePrutser op 22 augustus 2019 02:09]

Dit is precies wat bij mijn bedrijf aan de hand is (Duits 10.000+ werknemers wereldwijd). Google services krijgen vanuit de proxy een eigen aangemaakt certificaat, waar Firefox een niet te negeren certificaat-waarschuwing op geeft. Overigens alleen bij Google, andere sites zoals hier, of Facebook, werken wel gewoon.
Reactie van IT: Firefox is niet supported, gebruik IE 11. K THX BYE
Dat komt omdat Firefox i.t.t. de andere browsers (IE, Chrome, Opera e.d.) niet de Windows Certificate Store gebruikt.

Dit zou je moeten kunnen aanpassen:
https://support.umbrella....Windows-Certificate-Store

En anders moet je zelf even de root CA naar een bestand exporteren en importeren in Firefox.

[Reactie gewijzigd door J0HAN op 22 augustus 2019 11:54]

Dat komt doordat Firefox standaard een eigen certificate-store gebruikt. Chrome, IE en Edge gebruiken (onder Windows) allen de Windows certificate-store. Je kan Firefox instellen om ook de Windows certificate-store te gebruiken (zie hier), mocht je dat willen.
Standaard internet surveillance bij veel bedrijven tegenwoordig. Vaak wordt een product van Zscaler voor SSL inspectie gebruikt.
Ik neem aan dat je wel snapt dat je in eenzelfde situatie zit als internetgebruikers in Kazachstan? Jouw werkgever kan dus al jouw https verkeer inspecteren. Op zich is Duitsland dan 1 van de beste landen ter wereld om werknemer te zijn op dit vlak omdat je wettelijk goed beschermd bent. Mits je ook op Duits grondgebied of volgens Duits arbeidsrecht werkt. Dat neemt echter niet weg dat technisch gezien al je beveiligde verbindingen ingezien (en eventueel gemodificeerd) kunnen worden zonder dat je dat weet. Met het risico op lekken van informatie en het stiekeme gebruik van deze informatie in jouw nadeel.
Alleen is de situatie waarin je met een werk PC/ laptop via het netwerk van je werkgever voor je werk het internet op gaat niet echt te vergelijken met die waarin je met je eigen PC/ laptop/ tablet/ etc. vanuit je eigen huis voor privézaken het internet op gaat.
Dat zijn heel veel overheden, waaronder ook de Nederlandse, niet met je eens. Die zijn net zo nieuwsgierig naar het handelen van hun burgers als veel bedrijven dat zijn met hun medewerkers. Om over het verschil in juridisch bescherming nog maar te zwijgen.
In hoeverre is het in Nederland toegestaan om op deze manier beveiligde verbindingen af te luisteren? Er moet volgens de AVG iig een rechtvaardigingsgrond voor zijn. Tegelijk kan je ook stellen dat een willekeurige werknemer er bij een "groen slotje" er van uit zou moeten kunnen gaan dat al het verkeer tussen de server en de client (browser) volledig beschermd is.
Hier komt vast nog wel wat jurisprudentie over, lijkt me..
Ik denk dat het juridisch al redelijk dichtgetimmerd is.
Het begint er al mee dat je werkgever je de middelen geeft om voor werkdoeleinden het internet op te gaan. Al het verkeer dat via die internetverbinding loopt is dus in principe 'werkverkeer' en alle gegevens die je werkgever kan onderscheppen op die verbinding zijn werkgegevens. Privégebruik kan toegestaan of gedoogd worden, maar zolang de werkgever expliciet waarschuwt dat het internetverkeer gemonitord wordt is hij gedekt.

Privacy komt wel weer om de hoek kijken bij hoe de gegevens gebruikt kunnen worden. Het verkeer kan gemonitord worden voor beveiligingsdoeleinden, maar ze mogen niet zondermeer kijken of je wel 8 uur online bent (wanneer dat voor je werkzaamheden nodig zou zijn).
Jazeker, dan zie je inderdaad voor elke website die je bezoekt dezelfde CA (van de overheid) in de chain.

[Reactie gewijzigd door J0HAN op 21 augustus 2019 22:37]

En wat weerhoudt die overheid ervan om een andere naam te laten zien in het certificaat?
Niets. Het is hun eigen self-signed CA, dus daar kan je elke naam aan geven die je wilt.
Maar ná installatie in je browser zie je altijd dezelfde naam van het certificaat.
Als ik die overheid was, zou ik mij dan Digicert of Google noemen o.i.d...
het certificaat op zich niet, maar aangezien de providers verplicht meewerken en het verkeer dus kunnen aftappen en met het certificaat ook kunnen decrypteren zal de gebruiker er niets van merken omdat het een man-in-the-middle attack is
"en met het certificaat ook kunnen decrypteren"

Het wordt hiermee juist opnieuw geëncrypt, voor het decrypten is geen certificaat nodig.
Klopt niet: het certificaat vermeldt enkel de public key. Die public key heb je nodig voor het decrypteren. Voor het crypteren is de private key nodig. De proxy genereert een nieuwe public-key/private-key paar voor versleutelde communicatie naar de client en maakt daarvoor een nieuw certificaat aan (voor de nieuwe public-key; cert ondertekend middels de private key van de eigen CA (wiens certificaat dan weer trusted is op de client)).

De private key staat nooit vermeld in het certificaat (staat trouwens ook niet de aanvraag die je doorstuurt voor een signed certificaat).
Het is precies andersom. Je gebruik de public key uit het certificaat om een bericht te coderen. Deze is dan alleen met de private key weer te decoderen (alleen de eigenaar van het certificaat heeft normaal gesproken deze private key).

De public key wordt weer wel gebruikt om een signature gemaakt door de private key te controleren.

Overigens wordt de PKI alleen gebruikt voor de handshake en de uitwisseling van een symmetrische session key. Dat laatste vereist minder resources. Voor encryptie van en naar de server wordt dan de symmetrische key gebruikt..

Verder klopt je verhaal wel..
door een "SSL termination" setup op te zetten aan de provider kant. Eigenlijk een Man In the Middle attack, maar dan "legaal".

Dit is doodnormaal in de proxy setups binnen bedrijven: je proxy heeft een eigen root certificate die je via Group Policy laat trusten door al je machines. Al je browser dan naar een website wil gaan, wordt eigenlijk een SSL verbinding opgezet tussen de browser en de proxy, die dan op zijn beurt een SSL verbinding opzet met de eigenlijke target. Resultaat van deze set up is dat binnen de proxy zelf eigenlijk alle traffiek unencrypted is, en dus kan geïnspecteerd worden.

Wordt binnen bedrijfsleven gebruikt voor content filtering (tegen download van malware, maar ook tegen upload van confidentiële data) alsook logging van internet traffiek van de gebruikers (die afgeschermd is by default wegens privacy, maar mag ingekeken worden bij bijvoorbeeld verdenking van fraude of ander malicious gedrag van de gebruiker)

HSTS was hier een countermeasure tegen, maar HSTS is intussen dood....

Sommige applicaties hebben ook interne countermeasures. Google Chrome heeft bijvoorbeeld google's eigen certificaten intern en zal weerstand bieden tegen interception. Idem, Windows en Office hebben Microsoft's certificates intern, waardoor bijvoorbeeld je de traffiek van de Windows Store niet kan SSL intercepten, de Store zal weigeren je eigen certificaat te aanvaarden.
Hsts houdt dit niet tegen, dit is om een sessie op https te houden.
Een maatregel tegen deze certificaathack is DANE, waarbij de certificaatsleutel vergeleken wordt met publieke sleutel in DNS. In deze situatie zal er dan altijd een verkeerde sleutel geleverd worden.
Door dit soort acties zal belang en adoptie van DANE toenemen.
Of Certificate Pinning (Public Key Pinning, PKP), een maatregel waarmee browser voor bepaalde bekende domeinen de fingerprint van het certificaat vergelijken met een lijst van verwachte fingerprints. Precies bedoeld om man-in-the-middle te detecteren. Google is daar echter in maart 2018 mee gestop in Chrome, omdat ze vinden dat Certificate Transparency i.c.m. CAA-records een voldoende alternatief zijn. Ik zie echter niet hoe die laatste twee helpen tegen een MITM zoals de Kazachstaanse overheid hier uitvoert.
Je bedoelde zeker HPKP in plaats van HSTS? HSTS dwingt enkel een HTTPS-verbinding af, en is bovendien veelgebruikt, anders dan HPKP, dat hier wel bescherming tegen bood maar vanwege de lastige setup nooit is aangeslagen.
Al gebruik ik zelf veel producten van Google, en ben ik niet de persoon die elke minuut op ze zeikt, blijf ik het toch grappig vinden dat Google degene is die klaagt over anderen die alles opslaat.

Ontopic: Het was de enige juiste reactie om te doen.

[Reactie gewijzigd door lagonas op 21 augustus 2019 20:07]

Nee google houdt zich gewoon aan de wet. In China wil de overheid alles kunnen afluisteren dus moet je gewoon meewerken. In Kazachstan wil men dat stiekem doen en dus werkt men niet mee.
Ik zeg ook nergens dat dat niet zo is.
Het zou Google nu ook sieren als ze de Chinese overheid het ultimatum aanboden om op te houden met internetcensuur of anders... oh, wacht...
Ow wacht Google woord ook gecensureerd? 8)7
Google = Chinees.
Zoek voor de grap eens 'jeffrey epstein' op. Je krijgt praktisch alleen non-controversiële officiële news outlets te zien. Google is kapot en we hebben hard iets nieuws nodig, en duckduckgo is het ook niet.
In een eerdere discussie wou Mozilla nou juist niets hieraan doen, dus het is wat apart dat ze nu het omgekeerde doen, nu de Kazachstaanse overheid heeft aangegeven hun doel bereikt te hebben.
En hier zie je dus de macht van onze techreuzen.
Doet een overheid iets wat ze niet aanstaat, dan zijn ze in staat om dat volledig te ondermijnen.

Nu is het nog iets waar we met onze westerse waarden wel redelijk achter zouden kunnen staan.
Morgen kan het zomaar iets zijn waar we eigenlijk niet zo blij mee zijn. En dan?
Ze komen er alleen iets te laat mee. Kazachstan is al gestopt met het gebruik van dit certificaat om verbindingen af te kunnen luisteren.
Toen Kazachstan dit aankondigde bleef het oorverdovend stil vanuit de grote internetbedrijven, maar nu ze gestopt zijn komt plotseling deze verklaring. Dit is puur voor de bühne. De volgende keer dat Kazachstan een dergelijke 'proef' uitvoert, zullen de browsers ze geen haarbreed in de weg leggen.
Hoezo is dat niet het hele doel van dit gecentraliseerde certificatensysteem?
Tijd dat Borat daar maar weer eens een documentaire gaat maken
Bizar eigenlijk dat een overheid dit er zo door kan drukken. Maar de echte vraag voor tweakers: kunnen burgers hier iets tegen doen? Zou een VPN service deze problematiek oplossen?
Ja niet dat certificaat installeren en dus geen internet meer hebben. Abbo massaal opzeggen bij provider en zo dwing je (met heel veel anderen) de overheid en de provider.

VPN kan (als het niet geblokkeerd wordt ) wel helpen.

[Reactie gewijzigd door Audiodude op 21 augustus 2019 23:15]

VPN kan (als het niet geblokkeerd wordt ) wel helpen.
Ik heb weinig hoop dat VPN dit gaat overleven. Als Kazachstan een eigen variant van de Great Firewall of China wil gaan bouwen...
En als ik als "Kazachstan" een betaalde VPN heb?
Wanneer de IP-adressen naar die VPN-servers niet geblokkeerd zijn en het verkeer niet via deep-packet inspection herkenbaar is als verkeer naar een VPN-server maak je een kans.
Sommige VPN-providers zijn vanuit Kazachstan sowieso onbereikbaar, zoals VyprPN.
Google, Mozilla en Apple blokkeren het ssl-certificaat dat de overheid van Kazachstan heeft gebruikt om https-verkeer van burgers te onderscheppen. Google zegt dat het een onacceptabele poging vond om data van Chrome-gebruikers te onderscheppen.
Iets met een pot en een ketel...

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Autosport

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True