Browsermakers geven nieuwe versies uit na DigiNotar-blunder

Microsoft, Google en Mozilla brengen software-updates uit om de root-key van DigiNotar te verwijderen. DigiNotar, dat veel werk voor de Nederlandse overheid verricht, verstrekte een ongeldig ssl-certificaat voor subdomeinen van Google.com.

Door het ongeldige ssl-certificaat kon de Iraanse overheid een man in the middle-aanval op zijn inwoners uitvoeren, door het verkeer van en naar de Gmail-servers te onderscheppen. Internetgebruikers zouden daarvan niets merken, omdat het Nederlandse bedrijf DigiNotar een vals ssl-certificaat voor alle subdomeinen van Google.com had uitgegeven.

Mozilla heeft daarom aangegeven zeer binnenkort met een update voor Firefox, Thunderbird, SeaMonkey en Firefox Mobile te komen waarin het zogenoemde root-certificaat van DigiNotar ongeldig wordt verklaard. Daardoor zijn certificaten die onder de vlag van dit root-certificaat zijn uitgegeven, ongeldig. Microsoft heeft de root-key van DigiNotar uit zijn lijst met vertrouwde certificaten gehaald, waardoor gebruikers van Internet Explorer op nieuwe Windows-versies een foutmelding zouden moeten krijgen als een certificaat met de root-sleutel van DigiNotar is ondertekend.

Ook Google gaat het certificaat intrekken, al waren Chrome-gebruikers sowieso niet vatbaar voor het beveiligingsprobleem: Google heeft in de code van Chrome aangegeven dat alleen bepaalde partijen certificaten voor Google.com mogen uitgeven, en daar was DigiNotar er geen van. Als gevolg van het intrekken van de certificaten krijgen gebruikers een foutmelding als ze naar een beveiligde website met een DigiNotar-certificaat proberen te gaan. Desgewenst kunnen ze de website toch bezoeken, maar de identiteit van de website kan dan niet worden bevestigd.

Woordvoerder Jochem Binst van Vasco Security, dat de eigenaar is van DigiNotar, stelt dat dat geen gevolgen heeft voor het werk dat DigiNotar voor de overheid doet. Zo regelt DigiNotar het ssl-certificaat van DigiD, evenals de ssl-certificaten die bedrijven en instellingen gebruiken om vertrouwelijk met de overheid te communiceren. Het certificaat voor DigiD is bijvoorbeeld door een aparte root-autoriteit uitgegeven, speciaal voor de overheid.

Binst zegt niet te weten waarom DigiNotar een certificaat heeft uitgegeven voor Google, terwijl het dat helemaal niet had mogen doen. Wel zal het bedrijf later op de dag met een verklaring komen.

Het is niet de eerste keer dat een root-autoriteit ongeldige ssl-certificaten uitgeeft: Comodo heeft in maart ongeldige certificaten uitgegeven voor domeinen van Google, Yahoo, Mozilla en Microsoft. Opvallend is dat het certificaat van DigiNotar bijna twee maanden onopgemerkt is gebleven; inmiddels heeft DigiNotar het certificaat ingetrokken, maar daarmee kon niet worden voorkomen dat webbrowsers collectief het vertrouwen in DigiNotar opzegden.

Volgens de Electronic Frontier Foundation bevestigt de DigiNotar-blunder de kwetsbaarheid van certificaat-autoriteiten, terwijl de betrouwbaarheid van https-verbindingen zo zwaar leunt op die partijen. "Vandaag de dag vertrouwen internetgebruikers op certificaat-autoriteiten om hun privacy tegenover overheden te beschermen. We vragen ons af of die deze last wel kunnen dragen", schrijft de burgerrechtenorganisatie.

IT-banen

Reacties (97)

kaneter 30 augustus 2011 11:22

Goh, wat leuk. Iraanse hackers hebben wat achter gelaten? https://www.diginotar.nl/Portals/0/Extrance.txt

Edit
Wat duiding: http://www.f-secure.com/weblog/archives/00002228.html
Het lijkt er dus op dat het een oude hack is die er nog altijd staat, en dat het niet de enige hack is.

[Reactie gewijzigd door kaneter op 26 juli 2024 09:28]

Philip J. Dijkstra @kaneter • 30 augustus 2011 11:35

Ik hoor iets teveel 'we zijn gehacked' als excuus de laatste tijd.
Dit stukje tekst komt wel heel erg goed uit voor een bedrijf met een serieus probleem.
Ook fijn dat hij erbij verteld dat hij van het iraanse hackers team is.

De overheid heeft dit certificaat gebruikt. Denk je dat iemand in dienst van de iraanse overheid zo iets doms doet als digitale grafiti achterlaten waarin diezelfde overheid schuld bekend? Ik denk dat een echte iraanse hacker in dienst van de iraanse overheid iets meer waarde hecht aan zijn handjes en zijn nek.

beantherio @kaneter • 30 augustus 2011 11:31

Da's interessant. Het lijkt trouwens geen beginner te zijn: http://www.google.nl/sear...zoeken&aq=f&aqi=&aql=&oq=

coretx @kaneter • 30 augustus 2011 11:32

Pffft, dat kan ook de AIVD gedaan hebben.
Kijk bijv. naar "Jester" en al die overige intelligence community puppets.
Desinformatie is wapen #1

Ook kan het diginotar zelf zijn.
Bedrijven en regeringen geven liever hackers de schuld i.p.v toe te geven incompetent te zijn.

beantherio @coretx • 30 augustus 2011 11:37

Ik zie niet in hoe dit DigiNotar vrij zou moeten pleiten. Je als security-bedrijf laten hacken geeft mij niet zoveel vertrouwen.

coretx @beantherio • 30 augustus 2011 11:43

In dat bedrijf werken mensen die graag hun reputatie en baan wensen te behouden.

"Ik heb een fout gemaakt, sorry" klinkt dan minder goed als "Super Professional Hackers from Iran used a incredibly clever 0-day exploit that not even the best in the world could have prevented"

Zolang het volk, academia, de politiek, en management er de ballen verstand van heeft komen ze er mee weg, keer op keer.

beantherio @coretx • 30 augustus 2011 12:03

Het pleit die individuele medewerkers net zo min vrij. En ik zie niet in hoe men "ermee weg komt". DigiNotar loopt nu al grote schade op door deze affaire en als gevolg daarvan zullende medewerkers het ook gaan merken.

coretx @beantherio • 30 augustus 2011 19:37

"Damagecontrol"

Verwijderd @kaneter • 30 augustus 2011 11:31

Ik weet niet wie ik minder serieus moet nemen: DigiNotar, voor het zijn van een stel prutsers, of de overheid voor het extern in dienst nemen van een stel prutsers.

Batje4 @Verwijderd • 30 augustus 2011 13:10

Diginotar is gewoon een commercieel bedrijf, en is niet gelieerd aan de overheid. Sterker nog: het is in januari gekocht door Vasco. Bron: http://www.diginotar.nl/A...rticleId/278/Default.aspx

Prutsers gaat me te ver. Er zijn allerlei regels waar je je aan te houden hebt, voordat je jezelf uitgever van PKI-overheid certificaten mag noemen. Verder ben ik benieuwd naar de uitleg van Diginotar.

Ik ken ze, heb heel wat zaken met ze gedaan op verschillende gebieden en het zijn allesbehalve prutsers. Ik vind dit dan ook verbazingwekkend dat het bij hen gebeurt.

Maar het is fundamenteel, deze fout. Net als bij de bank is het business model gebaseerd op vertrouwen. En de wereld in security is niet zo groot.

[Reactie gewijzigd door Batje4 op 26 juli 2024 09:28]

Robino 30 augustus 2011 09:35

Totdat Mozilla de update voor Firefox uitbrengt kan je handmatig het DigiNotar CA certificaat verwijderen middels deze beschrijving

At the top of the Firefox window, click on the Firefox button (Tools menu in Windows XP) and then click Options.
Click on the Advanced panel.
Select the Encryption tab.
Click View Certificates.
In the Certificate Manager window, select the Authorities tab.
Scroll down to DigiNotar and select the DigiNotar Root CA.
Click Delete or Distrust.
Click OK to confirm the deletion.

Verwijderd @Robino • 30 augustus 2011 10:07

Je kan ook WinKey+R (of Start menu methode) en dat "certmgr.msc" intypen.

Dit start de standaard Windows certificate manager op (die FireFox/IE/etc ook gebruiken, al is dat een iets beter uitziende interface beschikbaar).

En dan "Third-Party Root Certification Authorities" -> "Certificates"

en daar kan je dan de twee DigiNotor Root certificaten vinden.

"DigiNotar Root CA" geldig tot 31 Maart 2025
"DigiNotar Root CA G2" geldig tot 3 Juli 2029

Vraag mij dus tevens af of beide certificaten ingetrokken zijn. De Microsoft update zal vermoedelijk wel onderdeel worden van de 13 September update die aanstaande is. Maar door alle media aandacht kan die ook eventueel eerder worden uitgebracht. Normaal zijn de root-certificate updates optioneel, maar ze zullen nu wel via critical worden uitgebracht.

SirBlade @Verwijderd • 30 augustus 2011 10:21

Tenzij je je in Iran bevindt is het slecht een slordigheidje, niet een kritieke fout. De kans dat de overheid van Iran hier misbruik van dat certificaat kan maken is nogal klein.

Freee!!

@SirBlade • 30 augustus 2011 11:56

Gebrek aan vertrouwen is altijd een kritieke fout.

En ik heb zo'n idee dat de belastingdienst een heleboel telefoontjes gaat krijgen komende februari/maart van mensen die geen belastingaangifte kunnen doen

Wilbert de Vries @Robino • 30 augustus 2011 10:02

Hoewel de handleiding lovenswaardig is, heeft het bij mij nog niet tot het gewenste resultaat geleid. Wat ik ook probeer, als normale gebruiker lukt het me niet dat CA-certificaat definitief uit te schakelen/wantrouwen; het certificaat blijft terugkomen. Is het met deze procedure bij anderen wel gelukt?

Mike2k 30 augustus 2011 09:41

Niet alleen de overheid maakt gebruik van de certificaten van DigiNotar. Ook de gemeentes gebruiken deze certificaten wat een dezer dagen tot ernstige problemen kan gaan leiden.

Denk even aan het volgende:
GBA (Gemeentelijke Basis Administratie) koppelingen die wellicht niet meer werken
Rijbewijzen worden ook over SSL verbindingen aangevraagd/doorgegeven
Registreren/overschrijven van voertuigen (RDW koppeling)

En zo zijn er nog legio mogelijkheden waarop dit gigantisch gaat bijten...

Ik ben toch erg benieuwd naar de verklaring van DigiNotar.
Klein pikant detail is wel dat de eigenaar van DigiNotar, Vasco, ook proxy servers maakt...zouden daar ook deze certificaten worden gebruikt ?

jeroen94704 @Mike2k • 30 augustus 2011 09:49

Tsja, ze zeggen zelf dus dat hun werk voor de overheid met een ander root-cert is gedaan, dus dat zou er geen last van moeten hebben.

Edit: Mijn aannaame is dat als ze het over "de overheid" hebben, hier ook de gemeenten bij horen, en niet alleen de rijksoverheid

[Reactie gewijzigd door jeroen94704 op 26 juli 2024 09:28]

TripleQ @Mike2k • 30 augustus 2011 09:56

Voordat alle systeembeheerders daar een browserupdate doorvoeren zijn we toch 3 jaar verder? (niet lullig bedoeld)

Maa bij veel bedrijven doen ze echt niet zomaar je browser updaten...(Vaak IE)

Freee!!

@Mike2k • 30 augustus 2011 10:00

Niet alleen de overheid maakt gebruik van de certificaten van DigiNotar. Ook de gemeentes gebruiken deze certificaten

offtopic:
Ook gemeentes zijn overheid.

kozue

Browsers

@Mike2k • 30 augustus 2011 14:26

Hoe het met de rest zit weet ik niet, maar heb ff als steekproef bij GBA gekeken en die gebruiken verisign certificaten.

jeroen94704 30 augustus 2011 09:40

Hoe gaat DigiNotar zich hier nou uitlullen? Het hele idee van certificaten en root-certs is dat wij er op kunnen vertrouwen dat een partij als DigiNotar goede procedures heeft om de identiteit te verifieren van iemand die een cert aanvraagt.

Nou is het wel zo dat het al langer een probleem is dat cert providers laks zijn met hun eigen procedures, en min of meer aan iedereen die hun geld geeft een cert verstrekt. Maar als iemand een cert aanvraagt van iets enorms als "*.google.com" zou ik zeggen dat je extra zorgvuldig kijkt wie je voor je hebt.

Wat ik me wel afvraag is waarom er software updates nodig zijn om de DigiNotar root certs ongeldig te maken? Certs kunnen toch gervoked worden, waardoor ze per direct niet meer werken? Of kan dat niet bij root-certs?

MSalters @jeroen94704 • 30 augustus 2011 11:26

Root certificates niet, nee. Een gewoon certificate kan revoked (ingetrokken) worden, maar daarvoor is het nodig dat de uitgevende instantie de intrekking ondertekent met het bovenliggende certificate. (Je wilt nl. niet dat hackers random certificates kunnen intrekken). Root certificates hebben per definitie geen bovenliggend certificate, dus die kun je niet op die manier intrekken.

Rob Coops

Beveiliging
Overheid
Internettoegang

30 augustus 2011 10:04

Ik denk dat de EFF wel een punt heeft maar hoe wil je zo iets anders oplossen overheden zijn niet te vertrouwen. De onze misschien de jouw misschien ook maar er zijn er een kleine tweehonderd en een beetje op deze planeet en daar zitten onvermijdelijk een paar rotte appels tussen... En omdat overheden nog wel eens vrijwillig dan wel gedwongen wisselen kun je nooit met zekerheid zegge dat een overheid die je nu vertrouwen kan ook morgen nog je beste vriend is.

Ik denk eigenlijk dat er simpel weg te veel bedrijven zijn die root certificaten uit kunnen geven. Dit maakt de kans dat iemand een certificaat uitgeeft dat niet uitgegeven zou moeten worden een stuk groter. Aan de andere kant als je het aantal flink reduceert dan kom je al snel in de problemen dat zo als het .com domein een bepaalde gevaarlijke overheid kan besluiten om welke reden dan ook certificaten te blokkeren.

Een echte oplossing lijkt me niet mogelijk het gevaar van mensen die om welke reden dan ook jouw gegevens willen stelen of je gesprekken willen afluisteren is simpel weg altijd aanwezig en het enige dat je kunt doen is zo veel mogelijk gebruikmaken dan veilige oplossingen en als het even kan altijd via een beveiligde verbinding werken. SSL is een oplossing maar in combinatie met een TOR netwerk en of een VPN tunnel om net even wat meer moeilijkheden voor de aanvallers te creeren is nooit een slecht idee.
Het volledig aanpassen van het internet zo als we dat nu gebruiken is een oplossing maar overheden zullen dat nooit toestaan. Het zou immers betekenen dat mensen niet bespied kunnen worden en dat is erg gevaarlijk voor overheden. Immers als je de macht hebt en deze zo als zo veel overheden niet helemaal netjes gebruikt dan is de kans op een opstand groot en als je mensen dan niet in de gaten kunt houden en eventueel preventief kunt ruimen dan heb je een groot probleem.

PolarWolf 30 augustus 2011 10:04

Alles wat met certificaten te maken heeft, heeft te maken met vertrouwen. Zelfs al schreeuwt diginotar van de daken dat al hun andere uitgegeven certificaten wel goed zijn, inclusief die van de overheid dan nog is dat vertrouwen beschaamd. Als er met zo'n simpel certificaatje al een fout wordt gemaakt, hoeveel vertrouwen moet ik dan hebben in die toko als het iets complexer wordt? Vertrouwen komt te voet en gaat te paard.

Mozilla, Google en Microsoft hebben dat vertrouwen al opgezegt.

Brummetje

30 augustus 2011 09:22

Erg netjes dat ze dat zo snel allemaal hebben geregeld..

Wel jammer dat je dan toch zelf je browser moet updaten wat natuurlijk niet iedereen doet.

@Hieronder...

Iets wat niet opgemerkt is kun je ook niet verhelpen ? Het is dus pas gister aan het licht gekomen en ze nemen dus meteen stappen...

En ook zoals hieronder.. het is niet aan de browser makers om dit op te lossen en toch doen ze het.

[Reactie gewijzigd door Brummetje op 26 juli 2024 09:28]

Little Penguin

Browsers

@Brummetje • 30 augustus 2011 09:34

Zonder browserupdate is het nu eenmaal niet mogelijk om 't certificaat in te trekken - eigenlijk zou men hier een apart update-kanaal voor moeten gebruiken.

(volgens mij is er binnen het SSL-gebeuren ook een voorziening om dit te kunnen doen...)

sjorsg @Little Penguin • 30 augustus 2011 09:44

Voor zover ik weet is er binnen PKI-crypto een voorziening om "normale" certificaten in te trekken door middel van een CRL (certificate revocation list) die uitgegeven wordt door de CA. Zo zou Diginotar publiekelijk kunnen aangeven dat het google.com-certificaat ongeldig is. Voor zover ik weet is er géén voorziening voor de browsermaker om de certificaten van hele CA's in te trekken -- misschien omdat hem dat teveel controle geeft over de CA's die gebruikers gebruiken, of omdat ze de infrastructuur om die CRL zelf te hosten niet willen opzetten.

Edit: zo te zien heeft Diginotar dat inderdaad al gedaan: http://www.google.co.uk/s...id=2da6158b094b225a&hl=en -- Helaas voor hen zijn ze nu alsnog hun reputatie kwijt

[Reactie gewijzigd door sjorsg op 26 juli 2024 09:28]

Verwijderd @Little Penguin • 30 augustus 2011 10:03

http://nl.wikipedia.org/wiki/Certificate_revocation_list

t_captain @Little Penguin • 30 augustus 2011 09:45

Met een recente IE hoef je ook niet je browser te updaten.

Remus @Little Penguin • 30 augustus 2011 09:51

Dat is wel mogelijk, in Firefox can je bijvoorbeeld een Certificate Revocation List importeren. Het enige probleem is dat dat dus handigmatig werk van de gebruiker vereist, dan is een browser update dus simpeler.

RM-rf @Little Penguin • 30 augustus 2011 09:54

"..eigenlijk zou men hier een apart update-kanaal voor moeten gebruiken."

via een SSL-verbinding dan gelijk ook? en dan laat je Diginotar weer de certificaten voor leveren?

Volgens mij wil je nu net liever niet dat de identiteits-vaststelling makkelijk via geheimzinnige 'backdoors' beinvloed kan worden en daarom zou het juist meer gevaar opleveren om zulk een 'backdoor' te scheppen...
het is waarschijnlijk enkel een praktische oplossing voor veelgebruikte domeinen om met 'root-certificaten' te werken die niet continue gechecked worden, dat om extra 'load' op de certifcaatservers te beperken... maar juist dat is ook een extra gevaar, zeker nu blijkt dat een vals certicaat 2 maanden kon bestaan zonder dat er een 'waarschuwing' gegeven werd dat er dus illegale rootcertifcaten in omloop waren...

wat dat betreft zou het veiliger zijn als zelfs rootcertifcaten toch minimaal eens per 48 uur iig op geldigheid gecheked worden en bij valse meldingen hierover ook gelijk een waarschuwing uitgegeven wordt, inclusief de uitgevende instantie....
in zo'n geval zou men binnen 48 uur tegen zulke ilegale certificaten kunnen optreden en is het niet meer winstgevend die te misbruiken voor langdurigere spionage-doeleinden (wat veel 'afluisterwerk' meestalw el is, dat zijn langdurende operaties die vaak niet bedoeld zijn om binnen 48 uur weer ontdekt te worden)

[Yellow] @Little Penguin • 30 augustus 2011 09:59

Je kunt handmatig het DigiNotar certificaat uit de lijst halen (bij Firefox, IE weet ik niet).

Maar worden revocation lists niet apart opgehaald bij FF en IE?

Edit: er zijn er meer die hiervan op de hoogte zijn zo te zien

[Reactie gewijzigd door [Yellow] op 26 juli 2024 09:28]

Verwijderd @Little Penguin • 30 augustus 2011 12:28

Pale Moon gaat geen update uitgeven:
No, the certificate has been revoked and this should cover anyone using it for on-line SSL connections. The update would be a lot of work for simlply deleting a certificate from the built-in certificate store, which you can do yourself as well (if you are really worried that the certificate revocation won't be picked up by Pale Moon) by following the steps here: http://support.mozilla.co...eleting-diginotar-ca-cert

funk-e @Brummetje • 30 augustus 2011 09:26

Volgens mij kunnen we uit het artikel niet opmaken dat de updates al klaar staan, dus het is nog even afwachten hoe snel de browsermakers actie zullen ondernemen. de plugins beschikbaar stellen.

edit n.a.v. bericht hierboven

[Reactie gewijzigd door funk-e op 26 juli 2024 09:28]

Verwijderd @funk-e • 30 augustus 2011 10:13

Volgens mij kunnen we uit het artikel niet opmaken dat de updates al klaar staan

Zo te zien hoeft Microsoft voor IE op Windows Vista en nieuwer helemaal geen software update door te voeren omdat Internet Explorer on line de certificaten verifieert tegen de Microsoft Certificate Trust List.en Microsoft het Diginotar cerificaat daarvoor direct heeft ingetrokken

Voor Window XP en Server 2003 versies zal vermoedelijk nog wel een update moeten komen.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 09:28]

]Byte[ @Brummetje • 30 augustus 2011 09:28

Erg netjes dat ze dat zo snel allemaal hebben geregeld..

Euhhhh... Wat mis ik?

Opvallend is dat het certificaat van Diginotar bijna twee maanden onopgemerkt is gebleven.

Tja, het is maar wat je snel noemt.

Niemand_Anders

Beveiliging

@]Byte[ • 30 augustus 2011 09:40

Normaal heb je natuurlijk niet zoveel aan alleen een SSL certificaat voor een Google domein. Er is natuurlijk geen enkele DNS server welke bezoekers naar jouw server doorstuurd zodat je ook een man-in-the-middle attack kunt uitvoeren.

In Iran is dat anders, omdat Iran hun DNS servers kunnen wijzigen om via een soort van proxy het verkeer te onderscheppen. De proxy zorgt voor de blauwe blak (ik ga er vanuit dat dit niet het EV-SSL certificaat betreft) in de browser verschijnt en zet alle verzoeken door naar de 'echte' server en geeft daarna het antwoord weer terug.

Wij gebruiken een soort gelijke techniek om Chrome uitdates te cachen. Je wilt niet dat ruim 150 clients allemaal dezelfde software gaan downloaden. Via caching door middel van een transparante proxy wordt op deze manier slechts eenmaal de Chrome update gedownload per 4 uur.

Iran gebruikt deze techniek dus om mailverkeer te onderscheppen..

Verwijderd @Niemand_Anders • 30 augustus 2011 09:59

Normaal heb je natuurlijk niet zoveel aan alleen een SSL certificaat voor een Google domein.

quote uit de ettercap manual page: "SSL support : you can sniff SSL secured data... a fake certificate is presented to the client and the session is decrypted."

Er is natuurlijk geen enkele DNS server welke bezoekers naar jouw server doorstuurd zodat je ook een man-in-the-middle attack kunt uitvoeren.

http://openmaniak.com/ettercap_filter.php

edit: na het lezen van mijn comment vraag ik me af of ik wel kan lezen/schrijven......

[Reactie gewijzigd door Verwijderd op 26 juli 2024 09:28]

RHertogh @Niemand_Anders • 30 augustus 2011 10:47

SSL certificaat misbruik voor dummies (samevatting):
Stap 1: 'gratis' hotspot opzetten op b.v. een terasje.
Stap 2: je eigen dns server via dhcp uitgeven.
Stap 3: Wachten op de eerste dodo die op de desbetreffende site wil inloggen en het valse SSL certificaat naar de client sturen.

Marcade @]Byte[ • 30 augustus 2011 09:31

Zodra het bekend werd hebben de browsermakers snel actie ondernomen om het certificaat te verwijderen. Dat is wat Brummetje bedoelde denk ik en daar heeft die toch gelijk in?

[Reactie gewijzigd door Marcade op 26 juli 2024 09:28]

NeOTheMaTriXM @]Byte[ • 30 augustus 2011 09:32

Het nieuws zelf is gister bekend geworden, dus als de grote partijen vandaag reageren is dat snel ja.

Het is niet aan Mozilla/Microsoft/Google om alle SSL-certificaten dagenlijks na te lopen

Crim @Brummetje • 31 augustus 2011 08:54

Als je niet afhankelijk wil zijn van browserupdate's in dit soort gevallen: http://my.opera.com/secur...-authorities-are-hacked-2

MPAnnihilator 30 augustus 2011 09:36

Ben benieuwd hoeveel opa's , oma's en andere IT leken zich iets zouden aantrekken van een fout certificaat en of ze, indien ze er een waarschuwing voor krijgen, niet gewoon zouden verder klikken zonder te beseffen waar het over gaat...

Edit : @ Keypunchie ; ik heb het eerder over de functie/nut van certificaten in het algemeen

[Reactie gewijzigd door MPAnnihilator op 26 juli 2024 09:28]

jeroen94704 @MPAnnihilator • 30 augustus 2011 09:48

Dit is ook de reden dat in recente versies van in ieder geval Firefox het niet meer zomaar een kwestie is van "doorklikken". Het is (expres) best ingewikkeld om in FF een uitzondering aan te maken om toch door te gaan als een certificaat niet in orde is. Dat krijgen opa en oma niet meer voor elkaar.

Keypunchie

Internet
Internettoegang
Beveiliging

@MPAnnihilator • 30 augustus 2011 09:41

Gaat hier niet om opa's en oma's, maar om politieke dissidenten. Mag hopen dat die net iets voorzichtiger met hun internet omgaan.

N11 @MPAnnihilator • 30 augustus 2011 09:44

De rode achtergrond, knopje "ik weet het zeker laat me doorgaan" zouden op zijn minst op moeten vallen.

majoh 30 augustus 2011 09:30

Opvallend is dat het certificaat van Diginotar bijna twee maanden onopgemerkt is gebleven.

Dit vind ik toch wel zorgwekkend. Sowieso is het hele certificaat gebeuren voor de gebruiker lekker onduidelijk. Maar had wel gedacht en gehoopt dat de controle wat beter zou zijn dan twee maanden...

pvcholten @majoh • 30 augustus 2011 09:39

Misschien is het certificaat de eerste 2 maanden niet in gebruik geweest.

Google Chrome had om een of andere reden wel door dat er iets niet pluis was:
http://www.google.co.uk/s...read?tid=2da6158b094b225a

Doordat Chrome foutmeldingen gaf kwam men er vrij snel achter dat er gerommeld was met certificaten.

watercoolertje @pvcholten • 30 augustus 2011 09:48

Google checkt de geldigheid van de certificaten op een andere plek als de andere browser, waarom dat precies verschil geeft weet ik niet, maar dat is waarom Chrome er niet in trapt en de andere wel...

Verwijderd @watercoolertje • 30 augustus 2011 10:20

Volgens mij checkt Chrome of de Google certificaten zijn uitgegeven door de certificatie partij waarmee Google zaken doet.
Een aanvullende non-standaard check die Chrome alleen kan doen omdat ze natuurlijk bij google zelf weten bij wie ze hun eigen certificaten hebben vastgelegd.

lembregtse

30 augustus 2011 09:28

Zouden ze ook zo snel een CA-root uit de browser te kieperen als het een bedrijf als VeriSign zou zijn?

PPie @lembregtse • 30 augustus 2011 10:31

Nope.
Ik zie in de Internet Properties -> Content -> Certificates -> Untrusted publishers 2 x een fraudulent Microsoft Corporation certificaat, uitgegeven door Verisign.
Daarnaast nog 9 uitgegeven door UTN-UserFirst-Hardware, voor onder andere ... mail.google.com!
Deze 11 certificaten zijn gewoon slechts ingetrokken (revoked), zonder de Versign of UserTrust root CA ongeldig te verklaren...

DonKui @lembregtse • 30 augustus 2011 09:34

Lijkt me niet, VeriSign is daar volgens mij veelte groot voor, denk dat een groot deel van beveiligde websites dan opeens een mooie foutmelding geven

_JGC_ @lembregtse • 30 augustus 2011 10:05

Ik denk dat Verisign zich wel 2x bedenkt voordat ze dit soort praktijken uitvoeren. Als je ziet wat voor procedures je daar moet doen voor een SSL certificaatje en wat die dingen vervolgens kosten... voor dat geld hebben ze geen overheidssteun uit Iran nodig.

Daarnaast, stel Verisign zou dat wel doen, dan heeft dat meer gevolgen dan alleen een paar SSL certificaatjes. Verisign beheert ook een aantal TLDs die hun door de amerikaanse overheid zijn toegeschoven. Als bekend wordt dat Verisign ongeldige certificaten aan Iran uitdeelt zal het niet lang duren voordat de Amerikaanse overheid alle verantwoordelijkheden bij Verisign weg trekt.

BlaTieBla @_JGC_ • 30 augustus 2011 11:49

VeriSign voert in principe dezelfde checks uit als Diginotar. Kwestie van een VeriSign Affiliate zoeken en of de verificatie te manipuleren is. Daar waar mensen werken worden fouten gemaakt. Bewust of onbewust.

Free rider @lembregtse • 30 augustus 2011 10:36

Tien jaar geleden gebeurde zoiets: Verisign gaf een nieuw Microsoft certificaat uit aan een derde partij, zie http://news.cnet.com/2100-1001-254586.html

Microsoft kwam er toen snel achter omdat de werkwijze van Verisign destijds anders was: als je namens een bedrijf een certificaat aanvraagt ging er een fax naar de directie van dat bedrijf (zoals bekend bij KvK), en daarin staan instructies om de uitgifte tegen te houden (niet veel meer dan het terugsturen van een fax). Microsoft deed dat toen, maar Verisign gaf toch het certificaat uit. Maar, destijds stuurde Verisign ook nog een bevestigingsfax naar de directie van Microsoft, welke vervolgens actie ondernam.

Door die laatste handeling kon het certificaat binnen enkele dagen na uitgifte worden ingetrokken. We zijn tien jaar verder en DigiNotar heeft twee maanden nodig - niet best.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (97)

Sorteer op:

Weergave: