Nieuws
image

SSL-certificaat e-mailprovider Snowden ingetrokken

woensdag 9 oktober 2013, 17:06 door Redactie, 6 reacties

De e-mailprovider waar NSA-klokkenluider Edward Snowden gebruik van maakte en begin augustus de deuren sloot is niet meer via HTTPS bereikbaar, omdat het SSL-certificaat van de website is ingetrokken. Lavabit werd door de Amerikaanse autoriteiten verzocht om de SSL-sleutel te overhandigen.

Deze sleutel werd gebruikt om het verkeer tussen de website en bezoekers te versleutelen. Volgens Lavabit-oprichter Ladar Levison zou het overhandigen van de SSL-sleutel alle gebruikers in gevaar brengen. Uiteindelijk dwong de rechtbank Levison om de gevraagde informatie te overhandigen.

Papier

Levison leverde de privé SSL-sleutel in papieren vorm aan. Elf pagina's met 4-punts grote karakters. De overheid nam hier geen genoegen mee, aangezien de FBI alle 2560 karakters handmatig moest invoeren en één fout betekende dat de sleutel niet zou werken. De rechter dwong Levison vervolgens om een digitale kopie beschikbaar te maken.

Daarop trok Levison de stekker uit de e-maildienst en liet alleen een melding zien waarom hij was gestopt. De website was zowel over HTTP als HTTPS bereikbaar, maar HTTPS geeft nu de melding dat het certificaat is ingetrokken, wat zeer waarschijnlijk komt doordat de sleutel in de gerechtelijke documenten is opgenomen.

Image

Reacties (6)
09-10-2013, 18:19 door [Account Verwijderd]
Wat is het toch een vreemd volk, niets tegen wapens doen, maar wel iemand die transparantie wil creëren in de wielen blijven rijden. Om nog maar niet stil te staan bij het precedent wat nu wordt gecreëerd. Erg slechte ontwikkelingen voor het Internet!
09-10-2013, 20:18 door Anoniem
Door iNeo: Wat is het toch een vreemd volk, niets tegen wapens doen, maar wel iemand die transparantie wil creëren in de wielen blijven rijden. Om nog maar niet stil te staan bij het precedent wat nu wordt gecreëerd. Erg slechte ontwikkelingen voor het Internet!

Helemaal niet zo vreemd. Nederland levert ook allerlei verschrikkelijks aan alles en iedereen maar haalt mensen van straat die met een tekstje op een stuk karton staan, onder het mom van "ordeverstoring". Wapenleveranties verstoren de orde niet.
Snowden en Wikileaks zouden mensen in gevaar gebracht hebben maar je hoort niks over de lui van de geheime dienst die onversleutelde USBsticks met data (namen, adressen) verliezen. Alsof die niet hun collega? in gevaar brengen. Maar ja, onbenulligheid uit de eigen dienst breng je liever niet in de openbaarheid.
09-10-2013, 22:05 door Anoniem
11 pagina's voor 2560 karakters? Met een 4 punts font? Hoe groot is een velletje in de VS tegenwoordig?

Zelfs met een 12 punts font heb je maar een 1/2 A4'tje nodig voor 2560 karakters.

En kennen ze daar geen OCR ?
09-10-2013, 23:29 door johanw
Er zijn fonts die OCR resistent zijn (net zoals je speciale OCR vriendelijke fonts hebt). Bijvoorbeeld door zaken alsde L en de 1 hetzelfde te laten lijken. En tekstherkenning helpt natuurlijk ook niet als je een hele rij willekeurige karakters achter elkaar hebt.
10-10-2013, 07:42 door WhizzMan
Dat heeft nog lang geduurd. Het was volgens mij al een week lang bekend dat de key niet meer "private" was. Welke certificaatpartij was de leverancier? Dan weten we welk root-certificaat we uit onze browser moeten trekken wegens laksheid bij compromised certificaten.
10-10-2013, 08:02 door FSF-Moses
Apart, bij mij kreeg ik geen waarschuwing dat het certificaat ongeld was verklaard. Na wat zoeken kwam dat door een instelling in Firefox (24.0).

Options -> Advanced -> tab Certificates -> Validations
Vinkje aanzetten bij 'Use the online Certificare Status Protocol (OCSP) to confirm validity of certificates'.
OK

Daarna pagina verversen, nu is de melding wel zichtbaar. Is bovenstaand vinkje standaard uit of heb ik deze per abuis in een ver verleden weggehaald? Iemand enig idee? Ik gok zelf op het laatste.

@ WhizzMan:CA is Go Daddy Secure Certification Authority
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search