image

Google beschermt gebruikers met 2048-bit certificaten

woensdag 31 juli 2013, 14:38 door Redactie, 10 reacties

Om de veiligheid en privacy van gebruikers te beschermen is Google begonnen om alle SSL-certificaten van sterkere encryptiesleutels te voorzien. Bijna alle verbindingen die gebruikers met Google hebben lopen via HTTPS. Dit moet de verbindingen tegen afluisteren beschermen en maakt het mogelijk voor gebruikers om te controleren dat ze ook echt met Google verbinding hebben gemaakt.

Alle 1024-bit SSL-certificaten worden op dit moment vervangen door 2048-bit certificaten. De uitrol zal de komende maanden worden voltooid, zo laat Tim Bray van het Google Identity Team weten. De nieuwe certificaten zouden beter tegen aanvallen bestand moeten zijn.

Uitrol
Het is echter mogelijk dat het aanpassen van de certificaten voor problemen kan zorgen. Het gaat dan om individuen die oude, zelf gecompileerde versies van OpenSSL met een verouderde Certificate Authority database gebruiken. Certificate Authorities zijn de partijen die SSL-certificaten uitgeven.

Een ander probleem kan zich voordoen bij ingebedde client-software, die over vaste certificaten beschikken. Google verwacht echter dat de uitrol voor veruit de meeste gebruikers geen probleem zal opleveren.

Reacties (10)
31-07-2013, 14:43 door [Account Verwijderd]
[Verwijderd]
31-07-2013, 14:57 door almaric
Door 77cros:
Bijna alle verbindingen die gebruikers met Google hebben lopen via HTTPS. Dit moet de verbindingen tegen afluisteren beschermen..
Zijn we PRISM al vergeten jongens? En waarom worden niet ALLE verbindingen van 2048-bits certificaten voorzien? Ok, ik vraag maar niet verder...

Omdat het voor sommige verbindingen wellicht geen toegevoegde waarde heeft om deze te versleutelen. Versleuteling pas je toe op het moment dat er gegevens beschermd moeten worden tegen derden (de homepage van ing.nl, rabobank.nl, etc. zijn ook default http).

Maar jij gebruikt vast overal HTTPS Everywhere voor ;)
31-07-2013, 15:46 door Anoniem
Als ze security zo hoog in het vaandel hebben waarom ondersteunen ze dan niet PFS?

Zijn dat trouwens EV SSL certificaten?
31-07-2013, 16:03 door Anoniem
Door 77cros:
Bijna alle verbindingen die gebruikers met Google hebben lopen via HTTPS. Dit moet de verbindingen tegen afluisteren beschermen..
Zijn we PRISM al vergeten jongens? En waarom worden niet ALLE verbindingen van 2048-bits certificaten voorzien? Ok, ik vraag maar niet verder...

Wie zegt dat de niet HTTPS verbindingen niet ook van 2048-bits certificaten zijn voorzien?

Google gebruikt (als enige?) al geruime tijd Perfect Forward Secrecy. Kom daar maar eens om bij andere organisaties. Google is een van de weinige organisaties met een A score bij Qualsys SSL Labs. Sommige andere grote clubs komen niet verder dan een F.

Peter
31-07-2013, 16:04 door AdHd
Door 77cros: Zijn we PRISM al vergeten jongens?
*Zucht* Maar ik kan het niet laten vandaag.
Je kunt natuurlijk ook "lichtjes" overdrijven, jongen. Er zijn veel meer "vijanden" dan veiligheidsdiensten alleen, voor zover die überhaupt al iets te maken hebben met MitM-dreigingen.

Maat, zullen we met z'n allen dan maar jouw geniale drog-redenatie volgen en alles wagenwijd voor iedereen open zetten omdat er mensen zijn die geloven dat er mensen zijn die alles toch wel kunnen zien (wat ze geloven)? ;-] Ok, ik vraag maar niet verder...


Door 77cros:
Bijna alle verbindingen die gebruikers met Google hebben lopen via HTTPS. Dit moet de verbindingen tegen afluisteren beschermen..
En waarom worden niet ALLE verbindingen van 2048-bits certificaten voorzien?
Omdat niet alle verbindingen over httpS lopen natuurlijk, daar heb je zelf overigens ook nog een vrije keuze in: (wel even HTTPS Everywhere uitzetten) http://google.com/ & httpS://google.com/
31-07-2013, 17:03 door Anoniem
Heel fijn dat Google een persbericht uitgeeft dat ze het zo goed met ons voor hebben, maar dit is gewoon een
algemene operatie in heel certificatenland die al sinds 2010 aan de gang is en waarvan de deadline nu zo langzaamaan
aan het verlopen is. Zelf moesten wij onze certificaten bij verlenging in 2011 al naar minimaal 2048 upgraden.
Men is er dus niet vroeg bij of zo, men is een van de laatsten die deze stap nog moet nemen.
31-07-2013, 18:37 door Anoniem
Het is helemaal niet overdreven om op PRISM (ea) te wijzen. Encryptie van Google hanteren staat gelijk aan het acceptabel vinden om veilig te zijn voor van alles, behalve voor overheden en dochterpartijen, en ook dat is al onacceptabel. Niet alleen gaat het in de meeste gevallen om vreemde overheden die wellicht aspecten als doodzonde zien die hier heel normaal zijn, bv ongesluierde vrouwen, homos, mensen die wiet roken, hoeren? Hun privacy kan maar beter goed beschermd zijn, willen ze hier op bezoek in landen als Rusland Engeland,Amerika of Islamitische landen geen verhoogd risico door lopen, om maar een voorbeeld te noemen, maar google zelf is een reclamebedrijf die zich alles met jouw gegevens permiteert, en daar beschermt het ook niet tegen. En verder gaat ook om het principe. Als ik iets interessants vind, of met iemand communiceer, dan behoort de keuze om dit met anderen te delen volledig de mijne te zijn. Geen gmail voor mij, geen chrome, geen google store, geen adds en geen google zoekmachine.
Ik hoop al een tijdje dat iemand eens een project begint dat gebruik maakt van encryptie plugins, en waar dingen als chats of browsers in kunnen worden geladen, met een community erachter waar mensen hun encrypties kunnen posten. Het zijn de grote spelers die gedwongen worden mee te werken, en hoe kleiner de spelers, en groter de encryptiesoortenpool is, des te minder waarschijnlijk dat wie dan ook ongevraagd mee lezen kan.
31-07-2013, 19:29 door Anoniem
Door Anoniem: Encryptie van Google hanteren staat gelijk aan het acceptabel vinden om veilig te zijn voor van alles, behalve voor overheden en dochterpartijen, en ook dat is al onacceptabel.

Het is onacceptabel om in dit soort gevallen misinformatie te verspreiden. Google gebruikt al sinds 2011 Perfect Forward Security. Dat voorkomt juist dat overheidsdiensten, na het tappen en vervolgens ophalen van de master key, alsnog je gegevens kunnen ontsleutelen. Of je toekomstig verkeer kunnen ontsleutelen.

De enige reden, die ik kan bedenken, waarom dit soort informatie wordt verspreid, is om de gebruikers naar minder beveiligde clubs te sturen, zoals bijvoorbeeld Microsoft (Vergelijk eens de resultaten van outlook.com en gmail.com op SSL Labs) of DuckDuckGo.

Peter
31-07-2013, 23:25 door Briolet
Door 77cros: En waarom worden niet ALLE verbindingen van 2048-bits certificaten voorzien? Ok, ik vraag maar niet verder...
SSL decoderen kost rekenkracht en verhoogt dus het stroomverbruik. Voor een desktop geen probleem, maar op een laptop of smartphone merk je het wel. Dus waarom zou je verbindingen met onbelangrijke inhoud versleutelen?
01-08-2013, 14:21 door AdHd
Door Anoniem: Het is helemaal niet overdreven om op PRISM (ea) te wijzen. Encryptie van Google hanteren staat gelijk aan het acceptabel vinden om veilig te zijn voor van alles, behalve voor overheden en dochterpartijen, en ook dat is al onacceptabel. Niet alleen gaat het in de meeste gevallen om vreemde overheden die wellicht aspecten als doodzonde zien die hier heel normaal zijn, bv ongesluierde vrouwen, homos, mensen die wiet roken, hoeren? Hun privacy kan maar beter goed beschermd zijn, willen ze hier op bezoek in landen als Rusland Engeland,Amerika of Islamitische landen geen verhoogd risico door lopen, om maar een voorbeeld te noemen, maar google zelf is een reclamebedrijf die zich alles met jouw gegevens permiteert, en daar beschermt het ook niet tegen. En verder gaat ook om het principe. Als ik iets interessants vind, of met iemand communiceer, dan behoort de keuze om dit met anderen te delen volledig de mijne te zijn. Geen gmail voor mij, geen chrome, geen google store, geen adds en geen google zoekmachine.
Ik hoop al een tijdje dat iemand eens een project begint dat gebruik maakt van encryptie plugins, en waar dingen als chats of browsers in kunnen worden geladen, met een community erachter waar mensen hun encrypties kunnen posten. Het zijn de grote spelers die gedwongen worden mee te werken, en hoe kleiner de spelers, en groter de encryptiesoortenpool is, des te minder waarschijnlijk dat wie dan ook ongevraagd mee lezen kan.
Alle spelfouten en het feit dat jouw meningen geen feiten zijn daargelaten, gaat het me nogal ver om alle overheden en bedrijven op één grote hoop te gooien in een reactie op een artikel over een certificaat-codering. Maar dat is mijn eenvoudige mening.

SSL/TLS is niet zaligmakend als beveiliging, maar een onderdeel daarvan. Ironisch daarbij is dat volgens de laatste x-KeyStroke-berichten juist het HTTP-verkeer wordt onderschept. Typisch.

Daarnaast maak ik helaas uit de toon van je bericht op dat jouw mening m.b.t. "normale zaken" als prostitutie (mensenhandel, dwang, mishandeling), wiet (belasting-ontduiking, maffia, brandgevaar & veel zware geweldsdelicten) en klederdracht (kinderarbeid / uitbuiting) blijkbaar zwaarder weegt dan die van miljarden andere mensen (lees: "de slachtoffers van jouw vrije moraal"). Ook zoiets typisch, daar hebben meer mensen hier in het "vrije Westen" een handje vol van, om vervolgens op kekke nieuwe Nikeys met die mooie baggy G-Star broek op half-elf de wereld te gaan verbeteren door al twitterend "Occupy" te roepen vanuit een stinkend tentje vol kunststof rommel op een veldje van de overheid; Veel brullen, weinig nadenken, en de meesten hebben nog nooit een dag gewerkt! (En ja, inderdaad, ik ben zelf eens een babbeltje gaan maken met die jokers toen ze in Amsterdam stonden te blèren.) Maar ik dwaal af.

Wat betreft de rest van je reactie; je hebt die keuze wel hoor! Al lang zelfs, maar door heel dat Wikileaks/PRISM-gebeuren wordt dat nu pas "populair," in plaats van "alleen gebruikt door criminelen en pedo's."
Ooit gehoord van GnuPG bijvoorbeeld? VPN dan misschien? Zegt .onion-land je iets (Tor)? I2P? Er zijn al ontelbaar veel projecten, die vaak ook nog eens zijn te combineren, voor allerlei OS / browsers / mail-cliënts om "veiliger" te kunnen communiceren, maar, en nu komt de clue: dan moet je wél even Googlen! (Pun intended)

Passend voorbeeld: https://prism-break.org/ <- Hou er wel rekening mee dat het certificaat hiervan een 128-bits-versleuteling heeft!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.