Ook Mozilla zegt vertrouwen in certificaatuitgever Entrust op na incidenten

Na Google heeft ook Mozilla het vertrouwen opgezegd in Entrust. Vanaf december worden meerdere rootcertificaten van het bedrijf niet meer vertrouwd in Firefox. Het bedrijf zegt dat Entrust niet voldoet aan bepaalde kwaliteitseisen.

Ben Wilson, CA Program Manager bij Mozilla, zegt dat het bedrijf alle TLS-rootcertificaten van Entrust een distrust-afterstatus geeft. Dat geldt vanaf 30 november 2024. Nagenoeg alle rootcertificaten van Entrust en dochteronderneming Affirmtrust die na die datum worden uitgegeven, worden niet meer toegelaten in de Mozilla Root Store en niet meer als geldig gezien door Firefox.

Mozilla zegt geen vertrouwen meer te hebben in Entrust nadat er meerdere incidenten plaatsvonden. Wilson verwijst naar een eerdere opsomming van problemen waarbij Entrust te laat reageerde op incidenten. Die vonden vooral in de afgelopen maanden plaats, maar de problemen met Entrust spelen al sinds 2020. Mozilla beschuldigt Entrust ervan dat het bepaalde belangrijke richtlijnen rondom het uitgeven van certificaten negeert en incidenten niet goed oplost.

Aanvankelijk had Mozilla Entrust nog enkele weken de kans gegeven om op die incidenten te reageren. Entrust moest daarvoor een rapportage schrijven waarin het problemen analyseerde, oplossingen noemde en evalueerde hoe de incidenten waren opgepakt. Volgens Wilson heeft Entrust wel zo'n rapportage geschreven, maar die raakt niet de kern van de problemen bij het bedrijf. "De afspraken die Entrust in het rapport beschrijft, zijn niet wezenlijk anders dan de afspraken die het in 2020 al maakte en die het bij recente incidenten schond", schrijft Wilson. Hij laat de mogelijkheid open dat Entrust op een later moment alsnog aan alle verwachtingen van Mozilla tegemoet kan komen, maar dat is op dit moment niet het geval.

Mozilla is niet het eerste bedrijf dat moeite heeft met Entrust en het vertrouwen daarin opzegt. Google deed dat in juni ook al.

Reacties (65)

markjanssen 1 augustus 2024 10:48

Hier in het artikel staat een verkeerde datum, in de bron staat:

In summary, we intend to implement a distrust-after date for TLS certificates issued after November 30, 2024, for the following root CAs:
CN=AffirmTrust Commercial
CN=AffirmTrust Networking
CN=AffirmTrust Premium
CN=AffirmTrust Premium ECC
CN=Entrust Root Certification Authority
CN=Entrust Root Certification Authority - EC1
CN=Entrust Root Certification Authority - G2
CN=Entrust Root Certification Authority - G4
CN=Entrust.net Certification Authority (2048)

Dus alle certs die momenteel uitgegeven zijn blijven nog 'geldig'

wildhagen

1 augustus 2024 10:42

Dat bedrijf kan dus wel opdoeken, effectief gezien, nu de twee grootste browser-bouwers ze niet meer vertrouwen denk ik niet dat er nog een toekomst is voor dit bedrijf.

En als de reden die zowel Google als Mozilla geven ook echt klopt (kan ik niet beoordelen) lijkt het opzeggen van het vertrouwen me ook wel gerechtvaardigd. Als je de gangbare processen niet volgt en er ook geen verbetering zichtbaar na tig waarschuwingen lijkt het me logisch dat je dan niet heel erg betrouwbaar overkomt.

Dan beter nu maar niet vertrouwen in de browser om eventuele DigiNotar-toestanden in de toekomst te voorkomen.

EnigmA-X

@wildhagen • 1 augustus 2024 11:02

Firefox hoort imho niet bij 'de grootste browser-bouwers' met een marktaandeel wat nog altijd rond de 3% schommelt.

Chrome (Google) is zeker de grootste (~65% marktaandeel), maar Safari (~18%) en Edge (~5%) zijn nog altijd flink groter qua marktaandeel t.o.v. Firefox.

_JGC_ @EnigmA-X • 1 augustus 2024 12:30

Het gaat niet alleen om de browser. Mozilla gooit Entrust nml uit de vertrouwde CA lijst in het NSS project en trekt die versie binnen in Firefox.
De certificaat store van NSS is wat nagenoeg alle linux distributies gebruiken voor het valideren van certificaten.

Verwijderd @_JGC_ • 4 augustus 2024 16:39

Maar uiteindelijk dus een druppel op een gloeiende plaat want ook dit aandeel is vrij klein.

_JGC_ @Verwijderd • 4 augustus 2024 16:43

Op de desktop is het percentage klein. Op servers daarentegen... die CA store van NSS is zo ongeveer de meest gebruikte op non-windows platforms. Ook veel 3rd party windows software die linkt met OpenSSL gebruikt de CA store van NSS.

Tjidde @EnigmA-X • 1 augustus 2024 11:58

Mozilla is ook al met hun kleine aandeel in browserland (helaas). Wel grote speler in de wereld van Web Development. En er zit meer dan browsers in de wereld van het internet.

Ik vraag mij af of Entrust dit kan overleven, ik zie de kans klein. Zeker aangezien het waarde van dit soort bedrijven voor 90%+ uit vertrouwen bestaat.

supersnathan94 @Tjidde • 1 augustus 2024 12:35

Tsja. Vertrouwen komt te voet en gaat te paard.

Dit hadden ze al lang aan kunnen zien komen.

Als er dan om verbetering gevraagd wordt moet je niet het huiswerk van de vorige keer inleveren en denken dat daarmee de kous af is.

supersnathan94 @EnigmA-X • 1 augustus 2024 11:39

Ligt er een beetje aan hoe je het bekijkt. Op de huidige markt hebben we nu drie grote engines. Die van Chromium, safari webkit en firefox’ gecko.

Aaargh! @supersnathan94 • 1 augustus 2024 11:51

Het gaat niet om de engine, maar om de browser maker en welke root certificaten deze meelevert en vertrouwd. Chrome en Edge hebben bijvoorbeeld dezelfde engine maar dat zegt niets over de set root certificaten.

supersnathan94 @Aaargh! • 1 augustus 2024 12:34

Dat klopt, maar dat is niet waar @EnigmA-X op doelde.

Die had het over “de grootste browser bouwers” en dan kun je wel degelijk kijken naar de engine.

EnigmA-X

@supersnathan94 • 1 augustus 2024 12:43

Dan nog klopt de stelling imho niet. Chrome en Edge zijn alletwee Chromium gebaseerd (net als bijvoorbeeld Brave), goed voor >70% aandeel qua engine, Safari webkit pakt wederom ~18%. Gecko blijft nog steeds de kleinste van het stel.

Ik zou dus zeggen dat we twee grote browser engines hebben die goed zijn van ~88% marktaandeel... en de rest is klein, waarvan Mozilla Firefox/Gecko dan misschien "biggest of the rest is" (met ~3% totaal aandeel).

TheVivaldi @EnigmA-X • 1 augustus 2024 13:12

Dat ook, en de engine zegt sowieso niks, want o.a. Vivaldi, Brave en Edge trekken ook deels hun eigen plan. Dus als Google zegt “we gooien xyz eruit, want geen vertrouwen meer”, dan hoeven de andere browsers daar niet per se mee in zee te gaan.

supersnathan94 @TheVivaldi • 1 augustus 2024 17:44

Maar nu kijk je weer vanuit het perspectief Certificaten. Dan is het sws praktisch mogelijk om zelf weer het certificaat toe te voegen en kun je zelf je eigen plan trekken.

Kijken we naar andere zaken dan hebben browser bouwers zoals MS en vivaldi weinig te zeggen over wat er daadwerkelijk met Chromium gebeurt. Manifest V3 komt gewoon in Chromium dus als MS en Vivaldi dat niet willen zullen ze daar echt veel meer moeite voor moeten doen dan iets als een certificate trust store.

En de engine zegt wel redelijk wat daar je niet Chromium gaat gebruiken met een andere engine. Dan kun je de rest net zo goed ook zelf doen (wat ze al doen praktisch gezien). Het is juist de engine waar partijen als Vivaldi, Brave en MS niet zelf aan willen knutselen.

supersnathan94 @EnigmA-X • 1 augustus 2024 17:46

Ik zou dus zeggen dat we twee grote browser engines hebben die goed zijn van ~88% marktaandeel... en de rest is klein, waarvan Mozilla Firefox/Gecko dan misschien "biggest of the rest is" (met ~3% totaal aandeel).

Oke. Laten we het anders bekijken. Van alle browsers bij elkaar, welke vier kan iedereen zo opnoemen?

Misschien is “grootste” dan niet zo’n goede woordkeuze en hadden ze beter “populairste” kunnen zeggen.

Ben wel met je eens dat 3% nou niet echt “marktaandeel” is tov chrome.

Blokker_1999

Browsers

@supersnathan94 • 1 augustus 2024 11:52

Een engine is nog geen browser, en het is de browser die bepaald welke certificate store er gebruikt wordt, een eigen of die van het OS.

Maurits van Baerle

Mozilla Firefox
Browsers
Mozilla

@wildhagen • 1 augustus 2024 11:05

Hoe zit het eigenlijk op Windows, gebruiken browsers als Edge daar de Windows Certificate Store of (net als Chrome) de in de browser ingebakken certificaten>

pa2ra @Maurits van Baerle • 1 augustus 2024 11:08

Edge is chromium

Maurits van Baerle

Mozilla Firefox
Browsers
Mozilla

@pa2ra • 1 augustus 2024 11:13

Jawel, maar heeft MS dan besloten niet hun eigen Certificate Store te gebruiken bij Edge? Want je kunt natuurlijk prima een product rondom Chromium bouwen terwijl je de certificaten van het OS gebruikt.

emn13 @Maurits van Baerle • 1 augustus 2024 11:44

Sinds vrij recent (Chrome v105-v115) gebruikt Chrome een eigen cert store: https://chromium.googleso...-is-the-Chrome-Root-Store - en ook Edge is zijn eigen verifier gaan gebruiken, die zelfs op Windows afwijkt van het platform, al zullen die verschillen vast miniem zijn: https://learn.microsoft.c...ecurity-cert-verification

Daarmee zullen Edge en Chrome dus divergeren.

[Reactie gewijzigd door emn13 op 1 augustus 2024 11:53]

kodak @wildhagen • 1 augustus 2024 11:17

Mozilla geeft niet voor niets nog 5 maanden de tijd om met een betere uitleg van oorzaken en nodige verbetering te komen. Hoe langer dat duurt hoe meer klanten dat het bedrijf kan gaan kosten. Maar in principe kunnen ze prima pas weer klanten gaan werven als Mozilla wel tevreden is.

Interbert @wildhagen • 1 augustus 2024 11:03

Ze gaan via ssl.com certificaten leveren.

HollowGamer 1 augustus 2024 11:43

Welke kunnen we wel nog vertrouwen? Volgens mij zijn er heel veel weg of op de fles.

Opzicht goed, toen er nog geen LE was, hebben ze jaren winst gemaakt met het enkel ondertekenen van certificaten, en zelf niet voor een goede basis te zorgen.

CAPSLOCK2000 @HollowGamer • 1 augustus 2024 12:32

De spoeling begint inderdaad wel dun te worden. We horen regelmatig dat er een CA verdwijnt maar ik zie er geen nieuwe bijkomen (al zie je natuurlijk pas als ze groot zijn).

Nu is de markt ook wel veranderd, LE heeft een flink van de markt weggenomen dus het is niet gek dat er krimp is. Maar ondertussen zijn die certificaten en CA's toch nog wel superbelangrijk voor een flink deel van internet en het toezicht er op gebeurt door akelig weinig partijen. De grote browsers en OS'en, oftewel Microsoft, Google, Apple, Firefox en Opera zijn hoe de meeste mensen daar mee in aanraking komen.

Overigens, de CA's en de belanghebbende zijn wel vrij goed georganiseerd. Ze stellen samen regels op en controleren elkaar daar op. Naast de paar grote spelers zijn er ook kleinere CA's maar die zijn vaak nogal gebonden bv aan een land.

Dat browsers hun eigen cert store hebben in plaats van de certificaten van het OS te gebruiken is een veeg teken. De browser vertrouwen de OS'en duidelijk niet echt. Natuurlijk zijn ze niet de enige applicatie de mogelijkheid heeft om een certlijst op te geven voor gesloten omgevingen, Maar bij iets dat zo belangrijk is wil ik geen verassingen zoals afwijken van het OS. De hele certificate store is sowieso een beetje een ondergeschoven kindje. Zelfs veel IT's snappen niet echt goed hoe het werkt, waarom het belangrijk is en hoe je er beheer op moet doen. Ondertussen is het wel hart van veel moderne beveiliging.

Zo vertrouwt zo ongeveer de hele wereld de certificaten van de Nederlandse overheid, maar ook die van Taiwan, China, Turkije en de stad Peking. Voor een browser gericht op een wereldwijd publiek is daar iets voor te zeggen, maar moet je server die ook allemaal vertrouwen of is het genoeg om het certificaat te vertrouwen waar je OS z'n updates mee signed?

Ik maak me, zoals gewoonlijk, wel een beetje zorgen dat deze markt ook in de handen van de megatechbedrijven valt. Dat alle andere CA's er langzaam uitgewerkt worden. Tot het punt komt dat Google en/of MS zeggen: "Kom toch lekker bij ons dan geven wij je gratis certificaten bij onze dienstverlening". De grote clouddiensten doen dat al min of meer. Als dat nog wat verder gaat hebben ze die andere CA's niet meer nodig.
Toezicht wordt dan onmogelijk. Zelfs als je iets ziet dat niet door de beugel kan kun je er eigenlijk niks aan doen omdat die bedrijven "too big to fail" zijn en hun eigen toezichthouder zijn. Het grote machtsmiddel van nu, zo'n CA uit de vertrouwde lijst gooien, werkt dan niet meer want ze gaan zichzelf echt niet uit hun eigen vetrouwde lijst gaooien.

Overigens zou ik niet heel rouwig zijn als CA's minder belangrijk worden en we een méér gedistribueerd systeem zouden gaan gebruiken met minder centrale afhankelijkheden en controles. Helaas lijkt het de andere kant op te gaan. LetsEncrypt is wat dat betreft een geweldige stap de goede kant op, technisch gezien, maar LE is uiteindelijk ook weer één centrale partij. Gelukkig is de techniek die ze hebben ingezet ook eenvoudig door anderen te gebruiken. Dat biedt nog wat perspectief.

DANE/TLSA vind ik ook wel een mooie oplossing omdat je daarbij helemaal geen CA nodig hebt en in plaats daarvan iedereen zelf z'n eigen controlemateriaal publiceert via DNS. DNS maakt het makkelijk om het beheer te verdelen over verschillende partijen, iedereen met een eigen (sub)domein kan zelf eigen stukje beheren, inclusief certificaten.

PieterjanDC @CAPSLOCK2000 • 1 augustus 2024 19:58

CA's hebben altijd al te veel aangerekend voor domein validaties. Eens opgezet hoeven ze niets meer te doen, en incasseren ze 300 euro per DV. Dat CA's zoals Entrust en Symantec brands eruit gegaan zijn hebben ze enkel aan zichzelf te danken, omdat ze zelfs de moeite niet doen om hun systeem grondig te testen. Het werd hoog tijd dat hier eens grote kuis gehouden wordt

svenslootweg @CAPSLOCK2000 • 2 augustus 2024 00:58

DANE/TLSA vind ik ook wel een mooie oplossing omdat je daarbij helemaal geen CA nodig hebt en in plaats daarvan iedereen zelf z'n eigen controlemateriaal publiceert via DNS.

Dat valt tegen; dan moet je namelijk op DNSSEC bouwen om de records te valideren, en de trust root daarvan is dan weer de eigenaar van het TLD; wat doorgaans ofwel een overheid is, ofwel een groot techbedrijf, en beide opties hebben nu niet echt een mooie track record qua "betrouwbaarheid waar je op kunt bouwen".

Dan zie ik liever het CA-model waar er in ieder geval onderlinge controlestructuren zijn om CAs een beetje op het pad te houden, i.p.v. "de eigenaars van het TLD kunnen doen wat ze willen en zijn de eindbeslisser".

Triblade_8472 @HollowGamer • 1 augustus 2024 15:44

Laat staan dat dingen als Let's encrypt de markt nou niet bepaald helpt.

Goed voor Jan en alleman, maar de markt wordt er wel goedkoper door. En dan is heel slecht voor de bedrijfsvoering van serieuze bedrijven waat heel veel geld naar beveiliging moet.

Ik moet er niet aan denken dat ik moet kiezen tussen een KPN/Google cert van 150 euro of let's encrypt met alle nadelen van dien. Liever blijven er genoeg grote toko's over die voor een relatief klein bedrag vertrouwde certs uit kunnen blijven leveren.

PieterjanDC @Triblade_8472 • 1 augustus 2024 20:01

Andere CA's vroegen 300 euro voor een domein validatie, waar ze zelf niets voor moesten doen. Nogal logisch dat Mozilla, IdenTrust en de EFF de handen in elkaar slaan om een gratis service aan te bieden...

svenslootweg @Triblade_8472 • 2 augustus 2024 00:59

Ik moet er niet aan denken dat ik moet kiezen tussen een KPN/Google cert van 150 euro of let's encrypt met alle nadelen van dien.

Wat voor verschil zie je precies tussen die twee opties?

Triblade_8472 @svenslootweg • 2 augustus 2024 09:19

De belangrijkste is de korte duur. We hebben een bedrijf waarmee we samenwerken. En zij gebruiken let's encrypt voor een server to server verbinding, ongevraagd aan ons. Nu hebben we gedwongen (door externe factoren, anders was 't al lang vervangen) oude en ingewikkelde software waarin het op meerdere plekken vervangen moet worden. Dit kost elke 3 maanden vervangen worden, wat ons weer flink tijd kost én in overleg moet want het moet gelijktijdig natuurlijk. Afspraken zijn uiteraard ook lastig te maken.

svenslootweg @Triblade_8472 • 2 augustus 2024 16:39

Ik zie het verschil, maar ik vraag me wel af in hoeverre dit een relevant verschil is. Meerdere CAs (buiten LE) hebben door de jaren heen al aangegeven dat ze de certificaatduur willen gaan verkorten, simpelweg omdat dat veiliger is (want je beperkt de consequenties van een onopgemerkt lek). Er is dus een goede kans dat er op een gegeven moment sowieso geen certificaten van lange duur meer beschikbaar zijn, ongeacht wat er met LE gebeurt.

Daarnaast lijkt het me niet onredelijk dat je enkel voor dergelijke edge cases (die eigenlijk alleen in grote zakelijke omgevingen met veel budget voorkomen, want dat is waar de moeilijk-aan-te-passen systemen huizen) meer geld kwijt bent voor een specialistische dienst. Dat zou een ander verhaal zijn als het om bijv. prive-certificaten ging of kleine bedrijven.

deadinspace @Triblade_8472 • 2 augustus 2024 08:54

... of let's encrypt met alle nadelen van dien.

Wat zijn volgens jou dan de nadelen van Let's Encrypt?

Triblade_8472 @deadinspace • 2 augustus 2024 09:15

Sowieso zijn de certs van korte duur (is problematisch als je iets niet kan automatiseren).

Tenzij het verandert is moet port 80 open.

Voor zover ik het kan zien is het geen (enterprise) support.

En een persoonlijk standpunt: ik ben niet voor "gratis" producten als ze niet van een bedrijf af komen. Ik snap dat het een wereld ideaal is, maar de wereld is nouweenmaal capitalistisch en zolang er geen geld aan verdient kan worden kan de stekker er zomaar uitgetrokken worden. Dat gebeurt niet zo snel met Sectigo bijvoorbeeld. Nogmaals, mijn mening.

CP1977 @Triblade_8472 • 2 augustus 2024 10:07

Die poort 80 eis hoeft niet, er zijn ook mogelijkheden voor dns based controle. Er zijn zelfs services die het hele cert aanvragen doen en je enkel nog de cert hoeft te downloaden en doorvoeren.

deadinspace @Triblade_8472 • 2 augustus 2024 10:20

Sowieso zijn de certs van korte duur (is problematisch als je iets niet kan automatiseren).

Niet automatiseren is sowieso vragen om problemen. Je zit dan met een handmatig proces wat vaak niet goed beheerd wordt en niet vaak gebeurt. Daardoor is het foutgevoelig wanneer het nodig is. Ik heb professionele ervaring met zowel handmatige renewal bij betaalde CA's, en automatische renewal bij Let's Encrypt. De laatste situatie is echt zoveel beter.

Bovendien is de trend sowieso naar certs van korte duur. Tien jaar was ooit mogelijk. Dat werd vijf jaar, toen twee, en in 2020 één jaar. En nu wil Google/Chrome een push maken naar 90 dagen, wat Let's Encrypt nu al gebruikt.

Tenzij het verandert is moet port 80 open.

Poort 80 hoeft alleen open voor de ACME HTTP-01 challenge. Is dat een probleem?

Zo ja, het kan ook over poort 443 met de TLS-ALPN-01 challenge, of zonder enige poort open via de DNS-01 challenge. Dat kan al meer dan zes jaar. Zie Challenge Types.

Voor zover ik het kan zien is het geen (enterprise) support.

Je kunt altijd extern support inkopen natuurlijk. Nee, dat is niet gratis, maar dat is support van een andere CA ook niet.

En een persoonlijk standpunt: ik ben niet voor "gratis" producten als ze niet van een bedrijf af komen.

Dat vind ik een interessante keuze, en ik heb 100% de tegengestelde mening.

Gratis producten van een bedrijf zijn bijna altijd of een lokkertje voor dure producten, en daarmee juist gevoelig voor "de stekker er uit trekken". Of het gratis product is een manier om gegevens van/over jou te krijgen en te verkopen.

Gratis community projecten (Let's Encrypt, Wikipedia, Open Source software, ...) daarentegen vertrouw ik veel meer, en lijken veel resistenter tegen wegvallen. Juist omdat er geen commerciele belangen achter zitten.

Voor Let's Encrypt specifiek: daar zit een officiele non-profit organisatie achter genaamd ISRG. Hun voornaamste inkomstenbron is van honderden sponsors. Ze zijn ook transparant over hun financiën (en andere zaken).

Let's encrypt is een groot en serieus project, met heel veel gebruikers. Gespeculeer over dat de "stekker er zomaar uitgetrokken kan worden" is echt pure bangmakerij.

Over Sectigo vs LE gesproken trouwens. Check vooral de grafiek "historical trend" even

svenslootweg @Triblade_8472 • 2 augustus 2024 16:46

Dat gebeurt niet zo snel met Sectigo bijvoorbeeld.

Die redenering durf ik wel in twijfel te trekken. Zoals je zelf al impliceert in je vorige post (m.b.t. de opmerking over certificaatkosten), zijn zakelijke certificaatverleners volledig afhankelijk van een winstgevend business model om te blijven bestaan, en dat maakt ze bijzonder kwetsbaar voor veranderingen in de markt.

Het aanbieden van gratis certificaten door een andere organisatie is een voorbeeld van zo'n verandering, en daar kan Sectigo uiteindelijk niets aan doen. Dat is wat mij betreft geen stabiele fundering. Dat is niet specifiek voor Sectigo of zelfs certificaatverleners; het is een probleem met alle commerciele diensten, en in bredere zin met de kapitalistische insteek - de meest stabiele zaken in de maatschappij vind je eigenlijk nooit binnen commerciele bedrijven.

Aan de andere kant zijn organisaties als Let's Encrypt een samenwerkingsverband van meerdere partijen die ieder een eigen sterke organisatorische en/of economische reden hebben om de dienst in stand te houden; doorgaans is dat zo'n beetje de meest stabiele organisatievorm die mogelijk is (al zijn ze moeilijk op te richten), omdat je niet van een enkele incentive of markt afhankelijk bent; de diversiteit van betrokken partijen is een 'isolatielaagje'.

Dat zie je ook met bijvoorbeeld de governance van PostgreSQL, daar is relatief weinig onrust en veel stabiliteit, vergeleken met veel andere databaseprojecten, simpelweg omdat er veel partijen bij betrokken zijn die om verschillende reden de boel draaiende willen houden zoals het draait.

kodak 1 augustus 2024 11:08

Fouten bij certificaat authorities zijn natuurlijk een probleem. Alleen het doel van de regels en afspraken lijkt me niet dat er geen fouten gemaakt mogen worden maar dat er genoeg duidelijkheid is of er fouten gemaakt worden en wat gepaste oplossingen zijn om fouten in het vervolg te voorkomen.

Nu meent Mozilla dat de toezeggingen die omschreven worden niet anders zijn dan wat eerder was gedaan. Dat zou niet genoeg zijn. Maar Mozilla legt niet uit wat er onvoldoende aan is, terwijl ze er kennelijk eerder wel genoegen mee namen omdat het aan de bestaande regels voldoet. Dat klinkt alsof Mozilla hier de regels selectief aan het toepassen is. De oorzaak kan dus niet alleen zijn dat het bedrijf onvoldoende doet. De oorzaak is ook dat Mozilla pas na meerdere fouten de regels pas onvoldoende lijkt te vinden. Terwijl de miljoenen gebruikers daar afhankelijk van zijn.

Natuurlijk kan Mozilla prima een punt hebben dat het bedrijf niet doet wat Mozilla nu wil. Maar het lijkt me ook nodig dat Mozilla duidelijk genoeg is waarom ze eerder de regels zelf maar voldoende vonden. Anders is het te makkelijk om straks weer te zeggen dat de eventuele uitleg en wijzigingen die ze wel accepteren pas na meerdere incidelten onvoldoende zijn, ook bij andere Certificate Authorities.

Groningerkoek @kodak • 1 augustus 2024 12:42

De regels zelf zijn voldoende en duidelijk, probleem is echter dat Entrust de regels niet naleeft en nu dezelfde set regels voorlegt aan Mozilla zonder daarbij in te gaan op de kern van het probleem en dat is het niet naleven / te laat naleven van de regels en hiervoor ook geen nieuwe procedures/een actieplan voorlegt om juist dat probleem te gaan verhelpen.

kodak @Groningerkoek • 1 augustus 2024 14:09

Dat er achteraf gezien veranderingen nodig zijn is duidelijk. Maar Mozilla maakt zelf op geen enkele manier duidelijk waarom ze dan eerder accoord gingen met de omstandigheden bij die regels. Terwijl het daarmee dus mee heeft geholpen aan het ontstaan en bestaan van de huidige situatie.
De regels lijken vooral duidelijk genoeg te zijn om als Mozilla te kunnen klagen dat een CA achteraf gezien niet genoeg anders gaat doen. Maar ik verwacht ook van Mozilla dat ze zelf dan meer verantwoording afleggen wat bij hun beter moet. Het doel van de regels is nmm niet dat Mozilla achteraf als verantwoording kan gaan klagen over een CA en ze zelf dan niet transparant hoeft te zijn over wat ze zelf beter kunnen doen.

Groningerkoek @kodak • 1 augustus 2024 14:18

O.k. even super simpel dan, misschien dat zelfs jij het dan begrijpt.

- De regels zijn goed.
- De regels werden echter niet nageleefd.
- Entrust geeft niet aan hoe ze de regels nu wel gaan naleven.
- Mozilla trapt Entrust er dus uit.

Simpel, super simpel. En wat jij daar verder allemaal omheen verzint boeit voor geen meter.

kodak @Groningerkoek • 1 augustus 2024 14:28

Hoe zorgt jou versimpeling dat Mozilla of Google nu vertrouwen in een willekeurige ander CA hebben terwijl daar onder de zelfde regels, zelfde audits en zelfde oorspronkelijke vertrouwen nu enorme fouten worden gemaakt? Ik lees namelijk niet dat Mozilla duidelijk lessen trekt uit hun houding dat de CA moet tonen geleerd te hebben en dit soort problemen te voorkomen. We kunnen er uiteraard op hopen of het als verwachting hebben, maar zoals we juist uit het nieuws kunnen opmaken gaat het daardoor juist niet zomaar goed.

Triblade_8472 @kodak • 1 augustus 2024 15:40

Het punt is dat de grote browsers het goed doen, maar de cert toko niet.

Mozilla (en Google) hebben prima en netjes gehandeld. Je kan toch ook niet zomaar een bedrijf slopen?

kodak @Triblade_8472 • 1 augustus 2024 20:13

Zonder enig duidelijk onderzoek naar wat er wel of niet zorgde voor te veel vertrouwen in een CA maar concluderen dat Mozilla en Google het prima hebben gedaan klinkt niet als een redelijke manier van conclussies trekken. Zeker niet als we ondertussen wel verwachten dat een CA duidelijkheid geeft wat we mis is gegaan en ze beter moeten doen terwijl we juist net zo goed (of zelfs meer) afhankelijk zijn van de gevolgen van hoe redelijk de keuzes van Mozilla (Google enz) zijn.

aikebah @kodak • 1 augustus 2024 22:35

Mozilla en Google vinden niet de regels onvoldoende. Ze vinden het naleven van de regels door Entrust onvoldoende. Zie Entrust als die puber die met pa en ma afspreekt om voor 23:00 thuis te zijn van het stappen en structureel pas om 0:30 aan komt kakken. Op zeker moment zeggen pa en ma 'en nu blijf je thuis'... na veel soebatten mag ie toch nog weer lekker stappen met de belofte dat ie zich nu wel netjes aan de 23:00 thuis regel zal houden... en voila... hij komt weer structureel op z'n vroegst om 0:30 thuis.

Met de regels is niets mis, maar papa google en mama firefox zeggen: en nu is het afgelopen, jij mag niet meer stappen, want jij weet je niet aan de regels te houden.

kodak @aikebah • 2 augustus 2024 11:27

Dat is een van de veilige voorbeelden die bij de regels te geven is. De buurt die met de puber en de ouders in het dorp leeft is waarschijnlijk tevreden omdat ze er nauwelijks last van hadden. Alleen nu de situatie dat de puber en ouders wel problemen veroorzaken:

De ouders hebben wel wat meer pubers gehad waarvan een aantal zware overlast in het dorp heeft veroorzaakt. Het dorp moest ingrijpen voor het stopte. De ouders vonden toen dat de pubers wel wat strenger aangepakt moesten worden maar willen ze natuurlijk wel wat vrijheid geven want pubers doen wel vaker opstandig. Om 23u thuis en je kent de grenzen. Ouders gaan zelf ook uit of vroeg naar bed en na een paar weekende moeten ze van een kennis vernemen dat de puber pas om 2 uur naar huis ging, van de lokale winkelier vernemen dat de puber verkeersborden gevaarlijk verplaats en er een bijna ongeluk is geweest en van de school krijgen ze te horen dat de puber het huiswerk al lange tijd niet deed. Maar de ouders hadden volgens sommige dorpelingen natuurlijk niets te leren want de regels geven ze vrijheid. En die dorpelingen die bijna de diepe sloot in reden moeten maar vooral niet klagen dat de ouders wel erg makkelijk van goed van vertrouwen waren. Als er volgende keer toch weer iets ernstigs gebeurt met een of meerdere dorpelingen dan gaan we wel eens kijken of de ouders misschien wat meer verantwoordelijkheid moeten dragen.

Groningerkoek @kodak • 1 augustus 2024 17:32

Doe je dit met opzet, of begrijp je het echt niet?

MSalters @kodak • 1 augustus 2024 14:22

Snap je wat het doel van deze certificaten is? Dit is voor de beveiliging van het Web. Tot nu toe is het elke keer met een sisser afgelopen, althans er zijn geen hacks bekend die het gevolg zijn van de afgelopen incidenten. Maar dat is een kwestie van tijd, zeker als hackers doorkrijgen dat Entrust systematisch slordig is.

Als Mozilla al verantwoording moet afleggen, dan is het waarom ze Entrust zo lang vertrouwden ondanks hun nalatigheid.

kodak @MSalters • 1 augustus 2024 15:06

Dat is dus precies waarom ik stel dat het niet genoeg is dar Mozilla alleen (maar zeer terecht) meer duidelijkheid over oorzaken en veranderingen van de CA wil. Het is juist ook nodig dat duidelijk is waarom Mozilla het tot het meerdere keren fout ging toch maar (onterecht) vertrouwen in had.

Er valt anders te verwachten dat er bij andere CA's momenteel al veel fout is gegaan en blijft gaan terwijl Mozilla dat niet door heeft tot iemand ze er op wijst of heel lang steeds maar laat ontstaan. En dat is precies wat er nu gebeurde. Waarbij het gelukkig niet heel ernstige gevolgen voor miljoenen gebruikers van browsers zoals van Mozilla lijkt te hebben gehad, maar als Mozilla er niet duidelijk zeld ook van leert is dat geen onbelangrijk risico.

deadinspace @kodak • 2 augustus 2024 09:18

Alleen het doel van de regels en afspraken lijkt me niet dat er geen fouten gemaakt mogen worden maar dat er genoeg duidelijkheid is of er fouten gemaakt worden en wat gepaste oplossingen zijn om fouten in het vervolg te voorkomen.

En die communicatie over de fouten en gepaste oplossingen is er geweest. En Entrust heeft de aangeboden oplossingen niet goed geïmplementeerd, en blijft dezelfde fouten maken. Daarom is het nu klaar.

De oorzaak is ook dat Mozilla pas na meerdere fouten de regels pas onvoldoende lijkt te vinden.

Wat wil je nou? In je vorige alinea beargumenteerde je dat fouten kunnen gebeuren, en dat ze de kans moeten krijgen deze recht te zetten. En nu vind je het gek dat ze die kans gehad hebben?

Maar het lijkt me ook nodig dat Mozilla duidelijk genoeg is waarom ze eerder de regels zelf maar voldoende vonden.

Dit is een proces wat jaren sleept en waar genoeg communicatie over is geweest.

Lijst van incidenten in maart-mei 2024 bij Entrust, in redelijk detail uitgewerkt.

mei 2024: Recent Entrust Compliance Incidents, een laatste waarschuwing aan Entrust:

Our preliminary assessment of these incidents is that while they were relatively minor initially, the poor incident response has substantially aggravated them and the progress towards full remediation remains unacceptably slow. This is particularly disappointing in light of previous incidents in 2020 (#1651481 and #1648472), which arose out of similar misunderstandings of the requirements, similar poor decision-making in the initial response, and lengthy remediation periods that fell well below expectations. Entrust gave commitments in those bugs to address the root problems through process improvements, and it is concerning to see so little improvement 4 years later.

In light of these recent incidents, we are requesting that Entrust produce a detailed report of them. This report should cover in detail: [...]

Finally, Entrust’s report should include a detailed proposal on how it plans to address the root causes of these issues. In light of previous guarantees given by Entrust in 2020 to ensure speedy remediation in future incidents, this proposal should include: [...]

We strongly recommend that Entrust go beyond their existing commitment to offer systematic, automated solutions for effective remediation, like ACME ARI and that it also include clear and measurable targets for the adoption of these tools by new and existing subscribers.

juli 2024: Mozilla's Decision on Entrust's Root CA Certificates used for TLS, bericht dat er geen significante verbetering is en dat het klaar is:

Mozilla previously requested that Entrust provide a detailed report on these recent incidents and their root causes, an evaluation of Entrust’s recent actions in light of their previous commitments given in the aftermath of similarly serious incidents in 2020, and a proposal for how Entrust will re-establish Mozilla’s and the community’s trust.

Although Entrust’s updated report made an effort to engage with these issues, the commitments given in the report were not meaningfully different from the previous commitments which were given in 2020 and broken in the recent incidents. Ultimately, the proposed plan was not sufficient to restore trust in Entrust’s operation. Re-establishing trust requires a candid and clear accounting of failures and their root causes, a detailed and credible plan for how they can be addressed, and concrete commitments based on objective and externally measurable criteria.

En dat is alleen de publiek beschikbare communicatie die ik in 5 minuutjes kon vinden. Entrust zelf heeft meer gedetailleerde communicatie gehad.

kodak @deadinspace • 2 augustus 2024 10:32

Wat wil je nou? In je vorige alinea beargumenteerde je dat fouten kunnen gebeuren, en dat ze de kans moeten krijgen deze recht te zetten. En nu vind je het gek dat ze die kans gehad hebben?

Ik stel niet dat de kans geven de fout is. Ik stel dat het niet zomaar de juiste beslissing was. Terwijl het wel ruime gelegenheid geeft en (en heeft gegeven) dat een CA veel fout kan doen. En als we niet kritischer zijn richting Mozilla het voor veel grotere problemen kan zorgen (of al zorgt zonder dat iemand het jaren lang door heeft). Het lijkt me dan toch wel redelijk dat Mozilla op zijn minst aan geeft of de manier waarop ze eerder hun vertrouwen baseren beter kan.

_JGC_ @kodak • 1 augustus 2024 13:04

Rode draad door het hele verhaal is dat certificaten die fout zijn uitgegeven niet ongeldig worden verklaard. Problemen worden weggewuifd of gewoon niet snel genoeg op gereageerd.

Triblade_8472 @kodak • 1 augustus 2024 15:39

Beetje simpel gesteld hoor. Je kan niet zomaar een relatief groot bedrijf in vertrouwen (Certs) kapot maken.

Je mag best een aantal incidenten hebben en oplossen. Dan worden er vragen gesteld en moet je je verantwoorden. Vervolgens komt er een ultimatum en daarna pas trekken de grote jongens de vertrouwensstekker eruit.
In grofweg die volgorde van escalatie.

Ik vind het een prima gang van zaken zo eigenlijk. Niet te snel, maar er is een grens.

kodak @Triblade_8472 • 1 augustus 2024 19:49

Ik stel op geen enkele manier dat Mozilla meteen een relatie kapot moet maken. Dat is een conclussie. Maar net doen alsof Mozilla maar niets fouts heeft gedaan gaat me ook te ver. Dus als Mozilla dan duidelijkheid verwacht over een grondoorzaak dan hoort die ook over hun keuzes gegeven te worden. Juist omdat ze niet zomaar op een CA blijken te kunnen vertrouwen.

Blokker_1999

Browsers

@kodak • 1 augustus 2024 19:11

Fouten maken is menselijk. Als je elke CA eruit trapt bij de eerste de beste fout, dan hadden we geen enkele CA meer over. Dat men hen dus tijd geeft om structurele problemen die door de jaren heen ontstaan zijn op te lossen is dan ook zeer netjes. Hoeveel tijd moet je hen geven? Geen idee. En ik ga nu op dit moment ook niet snel heel de geschiedenis gaan lezen om daar een mening over te vormen in dit geval.

Er wordt al 5 jaar met Entrust gesproken over de problemen, en telkens opnieuw keren ze terug. Ik twijfel er ook niet aan dat er regelmatig wel degelijk verbeteringen zijn. En je hebt ook gewoon tijd nodig om na te gaan of er verbetering op lange termijn is of niet. Op korte termijn fouten rechtzetten is vaak eenvoudig, maar als de fouten structureel zijn, en je pakt die structuur niet aan, komen ze altijd weer terug.

En als je Mozilla en Google niet vertrouwd, kan je nog altijd zelf CAs gaan beginnen selecteren die je wel vertrouwt en al de rest verwijderen. Maar wil jij daar de tijd gaan insteken?

kodak @Blokker_1999 • 1 augustus 2024 20:08

Ik stel niet dat Mozilla of Google een CA in een keer maar moeten wantrouwen. Ik stel dat hun eigen keuzes om een CA te vertrouwen niet zomaar redelijk blijken zijn. Waarbij dit niet de eerste keer is.

Dat mensen fouten maken is prima. Maar ik lees nu alleen dat Mozilla wil dat de CA verantwoording af legt over fouten en nodige verbetering, terwijl Mozilla net zo goed onderdeel van het pribleem is. Zij hebben immers zelf gekozen vertrouwen te hebben terwijl dat bij nogal veel eisen onterecht bleek bij de praktijk. Terwijl miljoenen mense afhankelijk zijn waarop Mozilla wel of niet het vertrouwen wil hebben of niet (meer) wenst te accepteren.

Als Mozilla en Google niet aan transparante zelfreflectie doen maar dat wel selectief van CAs verwachten dan lijkt me dat hypocriet. Juist omdat organisaties en bedrijven als Mozilla een enorm belangrijk onderdeel zijn dat we certificaten wel of niet vertrouwen. Ik lees niet dat Mozilla hun afwegingen structureel op orde heeft bij de praktijk. Of ze nu van mening zijn dat ze hun keuzes prima op orde hebben of misschien niet, dan kunnen ze daar prima net zo transparante verantwoording over afleggen als ze van de CA's verlangen. Het is immers een gezamenlijke verantwoordelijkheid, niet slechts van een CA.

_JGC_ @kodak • 1 augustus 2024 16:26

Die afspraken worden niet alleen door Mozilla gemaakt. Als je core business verstrekken van certificaten is heb je je maar aan die afspraken te houden.
Dat het commercieel niet lekker is als je klanten na een fuckup binnen 48 uur hun certificaten moeten vervangen zoals DigiCert dat deze week wel heeft gedaan betekent niet dat je die gemaakte afspraken aan je laars kunt lappen.

RogerWilco2 1 augustus 2024 10:48

Ze lijken al best lang te bestaan. Wikipedia noemt 1994:
Wikipedia: Entrust

Als ik de punten lees in de link, dan lijken ze intern hun zaken niet langer op orde te hebben.

_JGC_ @RogerWilco2 • 1 augustus 2024 13:02

Ik heb de wiki even doorgenomen, de fouten die ze maken zijn vooral het niet 100% correct volgen van de gemaakte afspraken. Soms is er onduidelijkheid over de afspraken, maar rode draad door alles heen is het makkelijk wegwuiven van dit soort problemen en het traag of niet reageren.
Volgens afspraak moeten foute certificaten opnieuw aangevraagd of uitgegeven worden, bij Entrust doet men dat niet of duurt dat veel te lang.

xavalon 1 augustus 2024 15:17

Entrust was rond 2000 een hele betrouwbare partij met goede PKI software. Toen gebruikten bvb banken de Entrust software nog om eigen Certificaat Authorities op te zetten en te gebruiken voor eigen Public Key Infrastructure, zelfs voor gebruik tussen banken.

Jammer om te zien dat sinds ze commercieel zijn gegaan, dus zelf een CA zijn gaan opzetten en exploiteerden, het is afgegleden.

Ik kwam ze een paar jaar geleden weer tegen, toen ik bij een groot Canadees IT bedrijf werkte, en zij Entrust gebruikte voor identiteit's management, maar toen was mij al duidelijk dat het niet meer het Entrust was dat ik van langer geleden kende.

MrFax 1 augustus 2024 12:18

De ING Bank gebruikt Entrust, wat betekent dat als de browsers opeens certificaten gaan weigeren dat je klagende mensen hebt dat de ing website het niet meer doet.

Lawine93 @MrFax • 1 augustus 2024 12:53

Dit heeft geen effect op bestaande certificaten, dat lijkt mij dus geen probleem.

Dat geldt vanaf 30 november 2024. Nagenoeg alle rootcertificaten van Entrust en dochteronderneming Affirmtrust die na die datum worden uitgegeven, worden niet meer toegelaten in de Mozilla Root Store en niet meer als geldig gezien door Firefox.

etiennebruines @Lawine93 • 1 augustus 2024 13:43

Bron: Distrust After

Blokker_1999

Browsers

@etiennebruines • 1 augustus 2024 19:12

Ja, ze hebben dus enkele maanden om het probleem te voorkomen. Als de ING niet tijdig zijn certificaten verhuisd en vernieuwd, dan is dat toch echt hun schuld. Daarom ook dat Mozilla dit soort acties tijdig aankondigen en niet van de ene op de andere dag die certificaten niet meer respecteren.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (65)

Sorteer op:

Weergave: