image

Google dumpt SSL-controle Chrome

dinsdag 7 februari 2012, 12:48 door Redactie, 6 reacties

Google is van plan om de online controle van SSL-certificaten die Chrome uitvoert uit te schakelen, aangezien het toch geen zin heeft. Als de browser een verbinding met een website maakt, wordt gecontroleerd of het aangeboden SSL-certificaat niet door de uitgever (Certificate Authority) is ingetrokken en dus ongeldig is. Dit kan via de certificate revocation lists (CRLs) van de Certificate Authority (CA) of via het Online Certificate Status Protocol (OCSP).

Maar volgens Google's Adam Langley is het proces niet betrouwbaar. "Het probleem is dat de browser niet zeker weet of het de CA-servers kan bereiken." Het kan dan om bepaalde portals gaan, waarbij de gebruiker via HTTPs moet inloggen, maar waarbij verkeer naar andere sites, waaronder de CA's OCSP-servers geblokkeerd worden. Als deze OCSP request niet werkt, negeert Chrome dit, omdat er anders teveel valse alarmen zouden zijn.

Update
Daarnaast kan een aanvaller die de SSL-verbinding manipuleert vaak ook de verbinding naar de OCSP-server verstoren. "Aan de hand hiervan zijn we van plan om online revocation controles in toekomstige versies van Chrome uit te schakelen", merkt Langley op. De zoekgigant is er nog niet uit wat het met EV SSL-certificaten gaat doen.

Om Chrome-gebruikers toch tegen valse en ingetrokken SSL-certificaten te beschermen, gebruikt de browser het update mechanisme om de lijst met ingetrokken certificaten te ontvangen en beheren.

Reacties (6)
07-02-2012, 12:56 door dutchfish
Na het verhaal van de lek/hack van Verisign, waarbij het nog steeds onvoldoende duidelijk is hoe groot de schade bedraagt, vraag ik me waarschijnlijk terecht af of SSL niet 'obselete' is geworden, althans voor dit doel.

SSL is op zich een veilige methode maar de instanties voor certificering en hun CA's blijven rommelig aangaande security.

Hoeveel 'keys' moeten we morgen gaan 'revoken'?

Let op, ik ben geen Google fan meer sinds de gewijzigde policy die sinds kort is doorgevoerd, maar hier hebben ze wel degelijk een punt.

Hoogachtend,

dutchfish
07-02-2012, 12:58 door RickDeckardt
PKI is dood, Lang leve PKI!
07-02-2012, 13:00 door SLight
Voorlopig is SSL nog de enige gangbare manier voor grootschalige beveiligde internetverbindening, gewoon iedereen over laten gaan op SSH tunneling...
07-02-2012, 14:14 door M_iky
@Slight kan u mij in de juiste richting schuiven ivm SSH tunneling. Heb net ff gegoogled en begrijp het principe, maar er wordt enkel gesproken over toegang bv via putty tot je eigen server/remote server/... .
Ik was in de richting aan het denken ; SSH tunneling naar de dns servers van opendns...
07-02-2012, 14:57 door Anoniem
Het is gewoon wachten tot we end to end secure connecties kunnen leggen met ipsec over ipv6
07-02-2012, 15:41 door dutchfish
@M@iky:

http://www.debian-administration.org/articles/539
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.