Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 69 reacties

Mozilla eist dat alle certificaatuitgevers voor 16 september orde op zaken stellen. Anders neemt de browsermaker 'alle noodzakelijke stappen om onze gebruikers veilig te houden'. Niet bekend is op welke maatregelen Mozilla precies doelt.

Mozilla wil dat voor 16 september alle certificaatautoriteiten en -uitgevers orde op zaken hebben gesteld. Daarvoor moeten ze aan vijf voorwaarden voldoen, zo stelt de maker van Firefox in een e-mail aan alle ca's. Ten eerste moeten de certificaatautoriteiten en hun partners zowel hun systemen als hun netwerkinfrastructuur grondig controleren op mogelijke sporen van inbraak. Daarnaast moeten zij op alle accounts die de mogelijkheid geven om certificaten te genereren multi-factor authentication, meerlaagse beveiliging, toepassen. Zo kan bijvoorbeeld, behalve van een smartcard en een wachtwoord, ook gebruik worden gemaakt van een vingerafdruk.

De browsermaker pleit er verder voor dat er een extra controle komt op bedrijven die certificaten mogen uitgeven, zelfs als ze niet behoren tot een hoofd-ca. Mozilla weidt echter niet uit over hoe dat moet plaatsvinden. Wel wil de Firefox-maker dat de ca's ter controle een lijst met alle uitgegeven certificaten doorsturen naar de organisatie, inclusief de certificaten die door partnerbedrijven zijn verstrekt. Ook moeten certificaten voor populaire domeinnamen handmatig gecontroleerd worden; domeinen als google.com worden dus in beginsel automatisch geblokkeerd.

Mozilla zette als een van de eerste browsermakers de frauduleuze certificaten van de gehackte uitgevers DigiNotar en Comodo op de zwarte lijst. Concurrenten als Chrome en Internet Explorer blokkeren eveneens DigiNotar-certificaten.

Moderatie-faq Wijzig weergave

Reacties (69)

En hoe wil Mozilla dat gaan controleren? Er zijn honderden bedrijven die certificaten uitgeven, good luck als je die allemaal wil gaan controleren...

Mooie maatregel op papier, maar totaal oncontroleerbaar. Als je als Mozilla zijnde bij een Thawte of VeriSign aanklopt gaan ze je echt niet alle bedrijfsgeheimen laten zien....
En hoe wil Mozilla dat gaan controleren?
[...]
Mooie maatregel op papier, maar totaal oncontroleerbaar.
Dat zegt Mozilla toch? Ze stellen vragen en daar moet je antwoorden op geven. Waarschijnlijk wordt dat: geen of onvoldoende goed antwoord = ongeldig verklaren certificaat via het Mozilla browser update mechaniek. Zo zijn ook de DigiNotar (en de Staat der Nederlanden) certificaten ongeldig verklaard.
Op die manier probeert Mozilla "het internetten" wat veiliger te maken.
Het lijkt een wat "grove" manier, maar hoe wil je "het internetten" anders "veiliger"maken?
Dat vraag ik toch? Hoe gaat Mozilla controleren of de antwoorden kloppen? Dat kunnen ze niet, zonder in het bedrijf te kunnen controleren of het werkt zoals men stelt.

Dit lijkt me zeer gevoelig voor misbruik... nu gaan dus een paar mensen bij Mozilla bepalen wat wel en niet betrouwbaar is, enkel omdat men misschien de antwoorden niet goed vind (terwijl ze dat mogelijk dus wel degelijk zijn).

En daardoor kunnen wereldwijd dus miljoenen mensen getroffen worden, en ook bedrijven, terwijl er feitelijk met die sites/bedrijven niets aan de hand is.

Ik vind dit te gevoelig om door een direct belanghebbende partij (in dit geval Mozilla) te laten uitvoeren...
Naja, een bedrijf dat draait om *vertouwen* kan moeilijk gaan liegen tegen een ander belangrijk bedrijf zoals mozilla. Dus als mozilla vraagt dat ze bijv. multi factor authentication moeten hebben (geen fan van trouwens) dan halen deze bedrijven het echt niet in hun hoofd om daar over te liegen als dat voor hun betekend dat ze mogelijk het vertrouwen in hun bedrijf totaal kapot maken.
1) waarom zou je in godsnaam iets tegen multi-factor authentication hebben? Dat is volgens mij de enige methode om een beetje betrouwbaar te kunnen werken. Authenticatie begint bij iets dat je weet (een wachtwoord), iets dat je hebt (bv. een token) en iets dat eigen is aan jou (bv. een vingerafdruk/irisscan/spraaksignatuur/...). Hoe meer van die factoren je hebt, hoe moeilijker na te maken. Eeen wachtwoord alleen kan wel ergens lekken, maar om tegelijkertijd ook zo'n token of biometrie te bemachtigen is veel moeilijker (als die degelijk geďmplementeerd zijn). In beveiligingssector volgens mij het minimum wat je kan eisen qua beveiliging. Voor thuisgebruik misschien wat omslachtig, maar dat is dan je eigen afweging. Om maar een voorbeeld te geven waar de procedures erger zijn dan multi-factor: bij het IANA waar ze met DNSSEC een gelijkaardige problematiek kennen als met CA's. Die procedures gaan wel ietsje verder dan een simpele multi-factor; daar gaat het om multi-person met uitgebreide logs, tamper-proofing, en ga zo maar door. Duur is dat zeker en vast, maar de verantwoordelijkheid die eraan gekoppeld is ook gigantisch; even groot als wat er momenteel in handen van de CA's ligt.

2) hoe naďef is het om ervan uit te gaan dat dergelijke bedrijven het eerlijk spelen. We zien het bij Diginotar al. Uit hun afweging om het geheim te houden en hun imago te vrijwaren of open te zijn en alle betrokken partijen in te lichten, kiezen zij voor het eerste. Ze zijn nog niet out of business, binnen korte tijd waarschijnlijk wel, maar het heeft al hele tijd geduurd voordat ze communiceerden of voordat hun klanten zoals de overheid hun vertrouwen introkken. Diginotar heeft het niet proper gespeeld, waarom zou de rest dat wel doen?

Je hebt gelijk dat ze daarmee het vertrouwen in hun bedrijf kapot maken, maar vergeet niet dat bij Diginotar de hacks al meer dan 2 maanden gekend waren. Op lange termijn heb je gelijk, maar veiligheid speelt zich ook op korte termijn af. Of vind je het niet erg als iemand je rekening zou plunderen omdat je na maanden tijd en na veel papierwerk dat geld kan terugkrijgen? Dat zijn wel de potentiële gevolgen van zo'n onbetrouwbare CA. In Nederland zelfs nog erger omdat je hele identiteit gekaapt kan zijn en dus alles omtrent staatszaken vervalst zou kunnen geweest zijn. Dat kan je jaren aan problemen opleveren, lijkt me.

Beveiligingsfirma's moeten zich houden aan strenge standaards, dat lijkt me niet meer dan logisch. Multi-factor lijkt me daar gewoon het begin van en zeker geen overdreven eis.
De Staat der Nederlanden (via GovCERT) weet inmiddels wat het betekend te "liegen" naar Mozilla: alle "oude" certificaten zijn door Mozilla ongeldig verklaard op het root certificaat na. Een (kleine) ramp voor de Staat. Dat is waarschijnlijk de stok achter de deur. Dat zal je maar gebeuren als Certificat Authority. Dan kun je de tent sluiten, waarschijnlijk. Wellicht is dit "voldoende" om correcte antwoorden af te dwingen.
Edit: typo.

[Reactie gewijzigd door Xubby op 9 september 2011 15:38]

Mozilla: alle "oude" certificaten zijn door Mozilla ongeldig verklaard op het root certificaat na.
Hoe kom je daar nu weer bij? Alleen de DigiNotar certificaten worden geblokkeerd, de overige 6 intermediate-CA's werken nog steeds.

Wat dat betreft is het, zoals ik eerder vandaag les, in België iets kritischer - daar heeft men maar 1 verstrekker van certificaten voor de overheidsinstellingen...
[...]
Hoe kom je daar nu weer bij? Alleen de DigiNotar certificaten worden geblokkeerd, de overige 6 intermediate-CA's werken nog steeds.
Hoe ik daar (weer?) bij kom:
xubuntu, firefox, menu: edit, preferences, tab: advanced, encryption, view certificates, authorities, zoeken: DigiNotar B.V. en: Staat der Nederlanden
6x diginotar:
Diginotar:
Diginotar root ca
diginotar services 1024 ca
diginotar cyber ca
diginotar cyber ca
Diginotar B.V.:
pkioverheid ca overheid en bedrijven
pkioverheid ca organisatie
view: details: explicitly distrusted: ...

Staat der Nederlanden:
diginotar: pkioverheid ca overheid en bedrijven
getronics csp organisatie ca - g2
getronics pinkroccade pkioverheid ca - overheid en bedrijven
staat der nederlanden overheid ca
staat der nederlanden organisatie ca - g2
edit: edit trust settings: alles uitgevinkt = certificaat wordt niet vertrouwd

Beide root certificaten hebben wel alles aangevinkt en worden vetrouwd.
Zo kom ik daar bij ...
edit: diginotar toegevoegd, diginotar b.v. stond er al

[Reactie gewijzigd door Xubby op 9 september 2011 23:15]

Als je simpelweg kijkt naar deze vlaggetjes, dan zou je gelijk hebben - die zijn bij mij namelijk op eenzelfde manier uitgevinkt. Dat is echter niet anders dat de behandeling van alle andere immediate CA's, blijkbaar hoeven die dus niet aangevinkt te zijn om te werken. Zolang de ROOT ca maar goed werkt.

Ik heb dus de proef op de som genomen en een site gezocht die als ROOT-CA het 'Start der Nederlanden Root [SdN] CA' heeft en ook niet van DigiNotar afkomstig is. (gebruikte versie is Mozilla Aurora):
De hiërarchie die je dat zit is de volgende:
* SdN RootCA
** SdN Overheid CA
*** Getronics PinkRoccade PKIoverheid CA - Overheid en bedrijven
**** ['t certificaat van de site zelf]

Daar komt geen enkele waarschuwing op!

Dat die certificaten niet aangevinkt zijn is dus niet erg, zolang de link naar het Root CA maar aanwezig is en deze wel vertrouwd wordt.

Nogmaals: Vanuit Mozilla wordt alleen DigiNotar geweigerd en de andere worden gewoon toegelaten. En ook dat heb ik getest met dezelfde browser en een site met een DigiNotar cert. die wordt ook als niet-vertrouwd aangemerkt.

(waarbij ik overigens vind dat de diverse gemeenten al lang dat cert. vervangen hadden moeten hebben door eentje die wel geaccepteerd wordt...)
"nu gaan dus een paar mensen bij Mozilla bepalen wat wel en niet betrouwbaar is"

Dat is al lang het geval: de lijst met Root CA's in FireFox is niet zomaar tot stand gekomen. Het is ook niet uniek voor Mozilla: alle browsermakers moeten dat.
ze kunnen een schriftelijke verklaring eisen... en achteraf sancties opleggen wegens 'contract breuk'

kun je als staat elke hardrijder aanpakken... ... moet je dan maar de max snelheid alleen laten gelden op wegen waar je de middelen hebt om ook echt continu te controleren....

toch als jij een ongeluk veroorzaakt door te hard te rijden kun je er donder op zeggen dat die 'snelheids boete' er gewoon aan zit te komen.... naast je overige straffen uiteraard...
Mozilla kan best eisen dat een auditor zijn handtekening zet dat deze handelingen zijn gepleegd, voordat zij de CA-certificaten opnemen in Firefox.

Als een CA dat niet kan overleggen, dan komen ze niet in FF en krijgt de eindgebruiker foutmeldingen.

We hebben alleen bij DigiNotar gezien hoeveel een audit van bvb. PriceWaterhouseCoopers waard is.

Het blijft een papieren realiteit.

[Reactie gewijzigd door Keypunchie op 9 september 2011 14:54]

Ik vind het persoonlijk goed om te horen dat de Browsermakers haast geforceerd ervoor zorgen dat de eindgebruiker veilig kan internetten, en dit niet alleen door de browser veilig te maken. Maar ook de talrijke hosts van websites die bepaalde certificaten gebruiken goed te laten controleren of er niet ergens een (makkelijk) lek is.

Het enige wat ik me afvraag: Word dit niet een soort slavernij? De browsermakers staan blijkbaar in hun recht om websites te blokkeren zoals FF en IE de laatste paar dagen al doen bij heel veel websites. En mogen hierna best wel dure dingen eisen van die websites (Nieuwe SSL certs zijn niet goedkoop..)

[Reactie gewijzigd door D4NG3R op 9 september 2011 14:45]

Slavernij wil ik het niet noemen, maar het lijkt me wel er ver afwijken van net-neutraliteit.
Ik zou best kunnen leven met een extra (uitschakelbare) waarschuwing voor dergelijke certificaten, maar verder moet Mozilla toch echt niet gaan.
Ach, zo ver zal en kan het eigenlijk niet komen. Mozilla kan zo'n beslissing niet nemen omdat ze ook gebonden zijn aan hun open-source karakter. Momenteel hebben ze er een waarschuwingsscherm inzitten, dat zullen ze echt niet verwijderen (hoogstens ongebruiksvriendelijke maken). Want stel dat ze manieren omdat te omzeilen zouden verwijderen zonder geldige reden, dan kan je er prat op gaan dat er wel iemand met een fork begint waar je dat wel kan. Mozilla weet dat natuurlijk even goed, dus heeft het voor hen geen zin om mensen moedwillig te pesten; ze hebben er wel baat bij om hun gebruikers zo veilig mogelijk te houden.
Het waarschuwingsscherm zit er in voor sommige twijfelgevallen. Voor de gehackte DigiNotar certificaten is dat waarschuwingsscherm wel degelijk verwijderd. En nee, niemand begint zo'n fork. De mensen die competent genoeg zijn om dat te doen, zijn slim genoeg om te beseffen dat zo'n fork onwenselijk is.
Dat is dan ook exact wat ik zeg: als ze zonder geldige reden alles blokkeren, zal iemand met kennis van zaker daar wel een stokje voor steken, juist omdat hun broncode beschikbaar is. Iemand met kennis van zaken begint daar normaalgezien niet aan, omdat die ook doorheeft wat er aan de gang is. Het blokkeren van die DigiNotar-certificaten is wel degelijk met geldige reden gebeurd: die CA heeft zich compleet onbetrouwbaar opgesteld en volgens mij kan geen enkele zichzelf respecterende beveiligingsexpert die toko nog vertrouwen.

Als ik hier op Firefox 6.0.2 (waar Diginotar uit verwijderd zou moeten zijn, rondkijk, dan staat Diginotar nog gewoon bij de CA's en kan ik hun certificaten vanop de site downloaden en vertrouwen). Compleet verwijderd en geblokkeerd is hier in ieder geval niet aan de orde.
ik wil zelfst verder gaan... firefox zou zoveel moeten gaan dat selfsigned of untrusted domains in principe niet meer mogelijk moeten kunnen zijn... zonder deze feature bijv tijdens het compilen handmatig aan te zetten... maar dan is het ECHT eigen schuld van de beheerder.... en moet hij persoonlijk aansprakelijk worden gesteld als het toch fout gaat...

hij heeft immers moedwillig het systeem onveilig gemaakt...


waarom zou ik andere mensen niet mogen dwingen verantwoordelijk om te gaan met data die ook mijn veiligheid in gevaar kan brengen... als iemand z'n huis in de fik steekt en ik woon er naast... denk je dan dat de rechter zal zeggen '/.... het was z'n eigen huis dus mag ie ermee doen wat ie wil.............

het internet is verdoerie geen spelletje....
firefox zou zoveel moeten gaan dat selfsigned of untrusted domains in principe niet meer mogelijk moeten kunnen zijn
Lol, dan gaat Firefox zowel zakelijk als prive gelijk de deur uit, want dan kan ik het intern net meer gebruiken. Voor veel interne websites worden selfsigned/untrusted certificaten gebruikt, en is het ook niet noodzakelijk om dure certificaten aan te schaffen.

De enigen die blij zouden zijn met een dergelijke aanpassing zijn de CA's.
Je kan de "patch" ook gewoon weigeren, hoor. Of een ongeldig certificaat handmatig weer geldig maken. In Firefox kan dat.
Hoezo blokeren? Ze geven toch een waarschuwing, meer niet? Zodra een browser websites gaat blokeren is de weg zoek.
Nee; FireFox blokkeert wel degelijk GMail in Iran. Geen waarschuwing.

(Het gaat dan uiteraard om de GMail site van de Iraanse geheime dienst)
Ook moeten certificaten voor populaire domeinnamen handmatig gecontroleerd worden; domeinen als google.com worden dus in beginsel automatisch geblokkeerd.
Wie besluit wat een populaire domeinnaam is ?
En op basis van welke argumenten ?
In het kort, analyse van statistieken.
statistieken van wie, mijn.ing.nl gaat echt niet in algemene statistieken voorkomen ?
De uitgevers van de certificaten. Browsers checken bij HTTPS sites of het certificaat misschien revoked is door de uitgever. De uitgever weet dus hoe vaak een certificaat gecheckt is, en dus bij benadering hoe populair een domein is.

Ik kan me dus goed voorstellen dat de precieze regel iets zal worden als "handmatig checken van alle certificates waarvoor tenminste 1000 revocation checks per week gedaan worden".
volgens mij is dit niet zo. er is geen 1-op-1 verband tussen het benaderen van een HTTPS site en het checken voor revocations bij de CA. certificate revocation lists (CRLs) worden normaliter periodiek gedownload en vervolgens lokaal gebruikt om te checken of een certificaat is geblokkeerd.
[...]


Wie besluit wat een populaire domeinnaam is ?
En op basis van welke argumenten ?
Tjee, maakt dat nu echt zo veel uit? Zo kan je alles wel afbreken.
Toch wel een beetje dubbelzinnig dit...

Aan de ene kant natuurlijk goed dat ze de veiligheid van de gebruiker beter kunnen waarborgen, echter zal dit voor kleinere bedrijven wellicht lastig zijn direct de extra kosten op te brengen waardoor ze gaan achter lopen en het helemaal duurder wordt... Of zit ik er dan naast?
Het certificeringssysteem is gebasseerd op vertrouwen. Niet ieder klein bedrijfje heeft de infrastructuur om hun root certificaat te laten vertrouwen door de grootste browsers. Tja, dat is dan pech. Bedrijven die dat level van beveiliging niet kunnen uitvoeren moeten ook gewoon niet vertrouwd worden.

Het nadeel van het certificaten systeem is dat de gehele ketting maar zo sterk is als de zwakste schakel. Daarom is het logisch dat er strakke eisen worden gesteld.

[Reactie gewijzigd door Joolee op 9 september 2011 14:56]

Bedrijven die dat level van beveiliging niet kunnen uitvoeren moeten ook gewoon niet vertrouwd worden.
Ik zil dan nog wel eens zien of Mozilla zelf aan al die eisen voldoet. Je hebt niks aan heel betrouwbare certificaten als je browser niet door even betrouwbare mensen gemaakty wordt.
Natuurlijk voldoet Mozilla zelf niet aan die eisen. Ze geven toch geen certificaten uit of wel dan? Mozilla is een ander bedrijf met heel andere werkwijze en dus ook geheel andere beveiligingseisen.

Of moeten de vrijwilligers thuis aan de slag met Two-Factor authenticatie voor de commits? ;)

Ik ben het wel met je eens dat Mozilla haar eigen beveiliging ook op orde moet zijn, maar hebben we tot nu toe reden om aan te nemen dat dat niet zo is? Vooralsnog niet echt, terwijl er wél gegronde redenen zijn dat het bij de certificatenmakers niet allemaal okidoki is.
Natuurlijk voldoet Mozilla zelf niet aan die eisen. Ze geven toch geen certificaten uit of wel dan?
Maar ze zijn wel een schakel in de ketting wat betreft beveiliging, en zoals je weet is een ketting net zo sterk als de zwakste schakel.
maar hebben we tot nu toe reden om aan te nemen dat dat niet zo is?
nieuws: Hackers kraken servers Linux-kernel

Opensource projecten zijn niet gevrijwaard van hacks, dus aangezien er zat bedrijven gehackt zijn de laatste jaren, is dat bij Mozilla niet uit te sluiten.

[Reactie gewijzigd door Zer0 op 9 september 2011 16:26]

is dat niet het hele punt van Open Broncode. het feit dat de hele wereld in staat is over je shouder mee te kijken of je code wel goed en veilig genoeg is...

dat is iets dat we niet kunnen bij bijv. verysign het is goed dan mozilla zich daar nu hard voor maakt en het zou andere bedrijven (google) sieren als deze dergelijke innitatieven strickt ondertekenen...
is dat niet het hele punt van Open Broncode. het feit dat de hele wereld in staat is over je shouder mee te kijken of je code wel goed en veilig genoeg is...
In principe wel, maar in de praktijk kan het best een tijd duren voordat een ingeslopen exploit ontdekt wordt.
[...]

In principe wel, maar in de praktijk kan het best een tijd duren voordat een ingeslopen exploit ontdekt wordt.
Eerder andersom, bij closed source moet je er maar op vetrouwen of ze wel eerlijk handelen.. Ken je nog de exploit die al sinds 1985 erin zit , pas ondekt werdt
Volgens mij beschreef hij dat ook perfect ;)

'Het nadeel van het certificaten systeem is dat de gehele ketting maar zo sterk is als de zwakste schakel. Daarom is het logisch dat er strakke eisen worden gesteld.'
Is dit niet meer zo iets van laten we nu maar heel hard roepen over veiligheid. En wat eisen stellen om in het nieuws te komen (gratis reclame).
zouden ze dan niet zelf met een persbericht komen ipv het te 'verstoppen' op de publieke mailing lijst?

gezien de recente gebeurtenissen lijken me de gestelde eisen van Mozilla niet meer dan redelijk. het enige is zoals ik al eerder zei, dat ik niet weet of dat de taak is van Mozilla. maar ik ben blij dat zij het doen als niemand anders zich geroepen volt.
Het is Mozilla´s browser en die willen ze graag veilig houden, het lijkt me logisch dat dat een taak van hen is. Wie zou dat anders moeten doen denk je?
maar voor zo iets belangrijks zou je zeggen dat er een centrale autoriteit is die er op toe zou zien dat certificaten veilig zijn.

het lijkt me niet iets voor een browser maken om te doen, dat is nogal ad hoc en dus duidelijk niet goed gereld nog.
misschien moeten ze vanuit mozilla dan ook eens gaan praten met microsoft aple en google (de 3 grootste)... en gezamelijke policy regels opstellen...
Zorgt Mozilla hiermee er niet voor dat hun marktaandeel uiteindelijk verkleint? Als er een aantal sites niet bezocht kan worden?

En ja, ik weet dat het tegen argument is dat je dan tenminste wel veilig aan het surfen bent, maar geldt dit argument ook voor de gemiddelde internetter? Als die merkt dat de ene browser wel een specifieke pagina kan openen ongeacht de reden en de andere browser niet?

Er van uitgaande dat 1 van de maatregelen is om de site te blokkeren natuurlijk, anders heb ik niets gezegd.
Volgens mij roepen ze maar wat om als zeer veilig in het nieuws te komen. Zonder dat ze dit daarvoor gaan uitvoeren. Ze gingen ook als eerste Digi blokeren maar zijn er dan op terug gekomen om het daarna toch te doen. Ik denk dat, dat op zich al genoeg zegt over hoe strikt ze hun beleid over veiligheid voeren. (is volgens mij bij de andere browsers niet anders maar daar gaat het hier niet over).
Mozilla doet hetzelfde als de andere browsers; het verschil is dat bij een dergelijk Open-Source product de discussie vooraf openbaar is. Dat heeft niets met "roepen" te maken, dat is gewoon openbaarheid.
Precies; gewoon goekope stunt van Mozilla om tegen de wereld te kunnen zeggen: "Zie je wel? De rest maakt er een zooitje van, en alleen wij nemen security serieus."

Uiteindelijk was MS een stuk verantwoordelijker bezig. In plaats van rigoreus de stekker er uit te trekken, zoals Mozilla dreigt, is het soms beter even te wachten, om grotere schade te voorkomen.
en daar ben ik het nu exact mee ONeens. sterker nog als ik de middelen had gehad, (miljardair) had ik om deze principe kweste microsoft gewoon aangeklaagt omdat deze moedwillig de staatsveiligheid heeft aangetast...

dat en natuurlijk ook de betreffende minister...


dit is gewoon laffe, sukkelige, en gierige managers een handje boven het hoofd houden...

elk zichzelf respecterende partij heeft gewoon een noodplan... misschien zelfs wel een stapeltje certs gewoon op de plank just in case....
De staatsveiligheid (als die al echt in het geding is) komt eerder in gevaar wanneer plotsklaps vitale sites en servers effectief uit de lucht gehaald worden door een overzealous browser. Natuurlijk hadden de certs nooit gecompromiteerd mogen worden, maar dat wil niet zeggen dat een browser als IE daar dan bovenop ook zelf maar meteen dom moet gaan doen door alles rigoreus plat te gooien.
jawel, als er een reden is om internet explorer te gebruiken met die certificaten, dan update je het systeem wat er last van zou hebben niet...

Nu is inderdaad het hele internet onveilig door die houding van NL en MS
Voor certificaten die honderden of soms zelfs duizenden euros kosten, mag je toch wel verwachten dat die certificaten handmatig gecontroleerd worden?
Alleen lost dat niets op voor certificaten die paar tientjes kosten.
Dan mag het originele certificaat wel 1000 euro kosten, maar iemand die dan een nep certificaat aanvraagt met dezelfde naam en dit gaat volledig automatisch...

Eigenlijk moet er dan een centraal register komen van alle uitgegeven certificaten, als iemand dan een zelfde certificaat aanvraagt moeten er alarm belletjes gaan oid.

[Reactie gewijzigd door DDX op 9 september 2011 15:11]

Dat hoeft niet eens centraal, dat kan ook decentraal. DigiNotar had kunnen en moeten checken of https://www.google.com nog een valide certificaat had. Aangezien dat nog geldig is tot 12-8-2012 hadden er alarmbellen moeten gaan rinkelen: waarom koop je dan nu een nieuw certificaat?
hierin zie je de kwaliteit van mozilla maar ik vind deze maatregelen aan de andere kant wel ver gaan hoor
ik snap je punt.. maar certificaten worden gebruikt om de veiligheid te vergroten van onder andere bank en geld zaken en privé gevoelige informatie (DigiD).

streng zijn lijkt me dus helemaal geen overbodige luxe.
de enige vraag is wie zijn taak dat is? ik zou in eerste instantie niet zeggen die van Mozilla. maar ik ben van de andere kant wel blij dat ze het wel doen als niemand anders dat doet.
Convergence zou een goede stap kunnen zijn.

Maar wat ze willen doen na 16 september is me onduidelijk - als je CA's disabled kan dit een groot deel van het internet voor gebruikers/bedrijven platleggen.
Niet platleggen, voor web-browsers is het vrij eenvoudig om met een paar muisklikken toch door te gaan.
Probleem wat je dan krijgt is dat gebruikers een gewoonte gaan ontwikkelen door elk niet-te-controleren certificaat maar gaan accepteren. Dan bereik je dus precies het omgekeerde van wat de bedoeling is.
Dat Convergence lijkt me een volstrekt idioot systeem. Hoe moet ik als klant in vredesnaam weten of een site trustable is?

CA's bestaan juist, omdat je als klant dat niet afdoende [b]kan]/b] weten. En daarom laat je dat door een CA controleren.
Misschien even verdiepen in convergence ?

De CA's (650+) bestaan, het worden er niet minder, en je kunt er niet zomaar vanaf, dat is een groot issue, gezien er nu CA's compromised zijn geraakt, wie weet wat er nog volgt.

[Reactie gewijzigd door bakman op 9 september 2011 16:34]

Je weet nu ook niet of een CA trustable is. Het is maar een gok. "Het zal wel goed zijn" is risiko nemen.

Anders is het als je aan 5 CA's vraagt of het de juiste site is, want als ze dan allemaal 'ja' zeggen heb je al wat meer zekerheid.
Nog zekerder is het aan 10 te vragen, of 50, of allemaal.

Dat is nu Convergence.

Zoaks Bakman zei, verdiep je er eens in.
Zo het ook niet handig zijn om te zorgen dat een certificaat door meerdere CA's getekend moet worden? Dan moet je al meerdere CA's hacken om een nep certificaat te maken?
En hoe ver moet je dan gaan? Deze hacker heeft er al twee gehackt, en claimt een derde gehackt te hebben, dus dat zijn al drie CA's om mee te tekenen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True