Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Firefox blokkeert o.a security.nl, wegens ongeldig certificaat!?

10-10-2014, 22:44 door Anoniem, 15 reacties
Ik probeerde met Firefox browser naar de website van www.security.nl te gaan en kwam niet verder dan deze melding van Firefox: DEZE VERBINDING IS NIET BEVEILIGD En dan daaronder: U heeft gevraagd om een beveiligde verbinding op te zetten met www.security.nl,maar we kunnen niet bevestigen dat de verbinding beveiligd is. En daaronder: normaal gesproken zullen websites vertrouwde identificatie tonen wanneer u een beveiligde verbinding wilt opzetten om te bewijzen dat u naar de juiste plek gaat.De indentiteit van deze website kan niet worden bevestigd. En daaronder: Wat moet ik doen? Als u doorgaans zonder problemen verbinding maakt met deze website,kan deze fout betekenen dat iemand probeert deze website na te bootsen en kunt u beter niet verder gaan.Technische details: www.security.nl gebruikt een ongeldig beveiligingscertificaat.Het certificaat wordt niet vertrouwd,omdat het uitgeverscertificaat onbekend is. (foutcode: sec_error_unknown_issuer). Ik krijg ook dergelijke meldingen in FF als ik naar bijv. Google.nl en/of www.gmail.com wil gaan.Heel soms in een andere browser zoals chrome,maar vrijwel altijd in Firefox.Ben nu op www.security.nl via chrome browser,zonder melding,zonder problemen. Wat is dat nou toch met die Firefox-browser!? Ik begin er een hekel aan te krijgen! In Firefox adresbalk intypen: http://www.security.nl hielp niet,hij ging automatisch weer op https:// en weer deze melding over fout certificaat! Wat moet/kan ik nu doen (naast Firefox dan maar niet meer gebruiken en verwijderen)??
Reacties (15)
11-10-2014, 08:15 door Anoniem
Ik gebruik als jaren Firefox en ik heb geen enkel probleem met het bezoeken van deze site. Misschien moet je Firefox een keer herinitialiseren.
https://support.mozilla.org/nl/kb/firefox-werkt-niet-gebruikelijke-oplossingen
11-10-2014, 11:03 door passer
Zelfde ervaring als Anoniem hierboven: ook geen problemen die jij beschrijft.
11-10-2014, 11:37 door Fwiffo
@TS: Ik krijg met Firefox onder Xubuntu soms een driehoekje in plaats van een hangslotje op security.nl. Het kan volgens de melding een plaatje zijn, maar die kan ik niet terugvinden in Firefox.

Met de laatste stable Opera (Windows Vista) kreeg ik een nog engere melding, namelijk deze: http://help.opera.com/opera/Windows/1471/en/private.html#blocked. Als je dan leest waarvoor het is valt het allemaal wel mee natuurlijk. Een scriptje ofzo op security.nl. Waarschijnlijk van een adverteerder. Blij dat ze nog wat inkomsten hebben voor al het harde redactionele werk hier!
11-10-2014, 12:00 door [Account Verwijderd]
Gebruik je soms XP? Zijn je rootcertificates wel in orde?
11-10-2014, 13:59 door Erik van Straten - Bijgewerkt: 11-10-2014, 14:05
Door Anoniem: Ik probeerde met Firefox browser naar de website van www.security.nl te gaan en kwam niet verder dan deze melding van Firefox: DEZE VERBINDING IS NIET BEVEILIGD
[...]
In Firefox adresbalk intypen: http://www.security.nl hielp niet,hij ging automatisch weer op https:// en weer deze melding over fout certificaat!
De reden dat Firefox meteen naar https gaat (dit gebeurt al voordat de browser via het netwerk communiceert) is "HSTS" (HTTP Strict Transport Security). Elke keer dat je security.nl bezoekt stuurt de webserver een "instructie" naar jouw webbrowser: als deze webbrowser de eerstkomende 365 dagen opnieuw security.nl bezoekt, doe dat dan via https, ook als de gebruiker http intikt. Dit helpt enorm tegen Man-in-the-Middle aanvallen, en als dat is wat jou nu overkomt, dan is dat een feature van Firefox en zeker geen bug. Nb. Firefox en Chrome ondersteunen dit zeer zinvolle protocol, de laatste versie van Internet Explorer nog niet.

Zelf gebruik ik ook meestal Firefox en zie nooit certificaatfoutmeldingen op security.nl. De foutcode: sec_error_unknown_issuer wijst erop dat je verbinding hebt met een andere site dan security.nl, vermoedelijk met een "self-signed certificate".

Voor de certificaatfoutmelding die jij krijgt, kan ik 3 verklaringen bedenken (of ik zie iets anders over het hoofd).

1) Je krijgt deze meldingen bij een bedrijf (of school/universiteit/studentenhuis) waar gebruik gemaakt wordt van een uitgebreide firewall (of "UTM" = Unified Threat Management device) die "SSL inspection" uitvoert. Dat is gewoon een ordinaire man-in-the-middle aanval (om op virussen en andere malware te kunnen scannen). Als jij niet het root-certificaat van dat device geïmporteerd hebt, krijg je dit soort foutmeldingen. Je moet je realiseren dat de beheerders van die UTM kunnen "meekijken" bij wat jij doet via https. Dat geldt ook voor aanvallers die zo'n UTM hebben weten te hacken. Vraag na bij de lokale beheerders of zo'n device gebruikt wordt (dit horen ze bekend te maken).

2) Er is iets goed mis met jouw DNS server(s) in jouw router/modem of op jouw PC.

3) Er is een probleem met ongewenste plugins/addons in Firefox.

M.b.t. 2): dat de foutmelding vaker voorkomt in Firefox dan in Chrome zou eventueel toch op een DNS probleem kunnen wijzen. Ik neem aan dat je geen OpenDNS gebruikt? (zie https://www.security.nl/posting/404547/OpenDNS+geeft+certificaatfout+op+Internet_).

Van Chrome weet ik weinig. Stel dat jouw PC vervalste DNS informatie ontvangt, dus jouw webbrowser naar een ander IP-adres stuurt dan van de "echte" security.nl. Zowel Chrome als Firefox zullen dan proberen een https verbinding met dat foute IP-adres op te zetten. Met enige fantasie: ik sluit niet uit dat Chrome, bij het ontvangen van een vals certificaat, voor alarm te slaan, eerst aan Google DNS servers het IP-adres van security.nl opvraagt (mogelijk via een veiliger protocol dan DNS normaal gebruikt). En Chrome vervolgens de verbinding wijzigt naar het meer vertrouwde IP-adres en je zo toch op de echte security.nl terecht komt, zonder foutmeldingen.

Als van 1) en 2) geen sprake is, ligt malware in Firefox voor de hand. Je kunt de suggestie van Anoniem van 08:15 vandaag opvolgen, maar mijn advies is om jouw PC goed te scannen met 1 of meer andere virusscanners dan je nu gebruikt.

Om DNS te testen kun je het volgende doen: start een command prompt (DOS box). Typ nslookup gevolgd door de Enter toets. Achter > tik je: www.security.nl gevolgd door de Enter toets. Onderaan moet nu iets staan als:
Non-authoritative answer:
Name: www.security.nl
Address: 213.156.0.246
Als je een ander adres ziet dan 213.156.0.246, heb je een ernstig DNS probleem. Door 2x in te tikken: exit gevolgd door de Enter toets sluit je nslookup en de DOSbox.

Door Fwiffo: @TS: Ik krijg met Firefox onder Xubuntu soms een driehoekje in plaats van een hangslotje op security.nl. Het kan volgens de melding een plaatje zijn, maar die kan ik niet terugvinden in Firefox.
Een driehoekje met uitroepteken erin is een waarschuwing voor "mixed content". Dat betekent dat een deel van de gegevens via https wordt aangeleverd, en een ander deel via http. M.b.t. het ondersteunen van mixed content is Firefox een van de meest veilige browsers, zie de tabel midden in http://blog.ivanristic.com/2014/03/https-mixed-content-still-the-easiest-way-to-break-ssl.html (die pagina is wel wat oud, browsers kunnen sindsdien zijn veranderd). Wat jouw huidige webbrowsers aan mixed content accepteren kun je testen op https://www.ssllabs.com/ssltest/viewMyClient.html.

Een voorbeeld van een site die nauwelijks https ondersteunt is https://tweakers.net/. Als je die bezoekt met Firefox krijg je zo'n driehoekje met uitroepteken (de bedoeling van de makers is dat je de site nog via http bezoekt).

Als je wilt dat Firefox, bij https verbindingen, plaatjes via http blokkeert, kun je via about:config "security.mixed_content.block_display_content" op true zetten. Dan krijg je op https://tweakers.net/ wel een slotje, maar in de pagina zelf ontbreken de meeste plaatjes.

Waarom een website geen correct slotje geeft kun je testen via https://www.whynopadlock.com/.

Door Fwiffo: Met de laatste stable Opera (Windows Vista) kreeg ik een nog engere melding, namelijk deze: http://help.opera.com/opera/Windows/1471/en/private.html#blocked. Als je dan leest waarvoor het is valt het allemaal wel mee natuurlijk. Een scriptje ofzo op security.nl. Waarschijnlijk van een adverteerder. Blij dat ze nog wat inkomsten hebben voor al het harde redactionele werk hier!
Zelf gebruik ik NoScript die dit voorkomt, maar het zou ook kunnen dat Firefox dat eerder al blokkeert (omdat deze by default mixed content voor active components blokkeert: "security.mixed_content.block_active_content" is true by default).

Door NedFox: Gebruik je soms XP? Zijn je rootcertificates wel in orde?
Dat maakt niet uit voor Firefox, die heeft zijn eigen certificate store. Als Firefox up-to-date is, zijn de door Firefox gebruikte root certificaten ook up-to-date.
11-10-2014, 15:47 door Briolet - Bijgewerkt: 11-10-2014, 15:59
Door Erik van Straten: De reden dat Firefox meteen naar https gaat (dit gebeurt al voordat de browser via het netwerk communiceert) is "HSTS" (HTTP Strict Transport Security). Elke keer dat je security.nl bezoekt stuurt de webserver een "instructie" naar jouw webbrowser: als deze webbrowser de eerstkomende 365 dagen opnieuw security.nl bezoekt, doe dat dan via https, ook als de gebruiker http intikt. Dit helpt enorm tegen Man-in-the-Middle aanvallen, en als dat is wat jou nu overkomt, dan is dat een feature van Firefox en zeker geen bug. Nb. Firefox en Chrome ondersteunen dit zeer zinvolle protocol, de laatste versie van Internet Explorer nog niet.

Weet je zeker dat dit via HSTS gaat en niet via een redirect op security.nl? Als ik via de mac versie van firefox inlog met http krijg ik ook direct een https verbinding, zonder een certificaat fout.

Nu heb ik echter een eigen nas waar ik ook HSTS aangezet heb, maar daar gaat alleen Safari automatisch over naar een HTTPS verbinding. Chrome en firefox blijven bij hun HTTPS verbinding. Ik had daarom steeds de indruk dat deze nog geen HSTS ondersteunen. (mac versies)

EDIT: Erik, je hebt gelijk, als met Wireshark kijk, is al het eerste pakketje richting de website, een HTTPS pakketje. Dus HSTS werkt wel. Dan blijft voor mij de vraag waarom dit met mijn eigen nas niet werkt bij Firefox en met de Safari browser wel. (Maar dat is dan een ander topic)
11-10-2014, 19:31 door Erik van Straten - Bijgewerkt: 11-10-2014, 19:39
Door Briolet: Weet je zeker dat dit via HSTS gaat en niet via een redirect op security.nl? Als ik via de mac versie van firefox inlog met http krijg ik ook direct een https verbinding, zonder een certificaat fout.
Als je met een browser "voor het eerst" (of na het verlopen van de tijdspanne, en bij MSIE altijd) naar http://www.security.nl/ gaat, vindt inderdaad een redirect plaats. HSTS helpt pas na de eerste succesvolle https verbinding met een website, en alleen als de browser HSTS ondersteunt. Er is een uitzondering: van sommige sites is HSTS opgenomen in de browser zelf (in elk geval Chrome, Chromium, Firefox en Safari doen dit), en ben je dus ook bij het 1e bezoek al veilig.

Door Briolet: Dus HSTS werkt wel. Dan blijft voor mij de vraag waarom dit met mijn eigen nas niet werkt bij Firefox en met de Safari browser wel. (Maar dat is dan een ander topic)
Ik ben wel benieuwd, want als dit bij jouw NAS gebeurt is denkbaar dat HSTS bij andere sites ook niet altijd werkt zoals bedoeld. Als je iets geks vindt en wilt discussiëren kun je natuurlijk een nieuwe thread starten.

Welke tijdspanne gebruik je? De opgegeven tijd is in seconden (86400s = 24 uur, 31536000s = 365 dagen). In bijv. Firefox kun je met de F12 toets en kiezen voor de Network tab open, de site refreshen (F5 of Ctrl-F5). Als je een regel links selecteert zie je rechtsboven (evt. Headers tab openen) welke response headers worden meegestuurd.

https://www.security.nl/ (365 dagen) stuurt:
Strict-Transport-Security: "max-age=31536000"

https://mijn.ing.nl/ (100 dagen) stuurt:
Strict-Transport-Security: "max-age=8640000"

De specificatie van HSTS vind je in https://tools.ietf.org/html/rfc6797. Meer details over welke webbrowsers versies HSTS wel/niet ondersteunen vind je hier: http://caniuse.com/stricttransportsecurity. In https://hstspreload.appspot.com/ vind je de eisen waaraan een HSTS header moet voldoen om te worden opgenomen in de "preloaded list" van Chrome - die ook ge-include wordt door Safari en Firefox (ik verwacht niet dat deze clubs jouw NAS zullen willen opnemen ;)
11-10-2014, 20:25 door Anoniem
Hier de TS,ik gebruik windows vista,met daarbovenop windows 7 32 bits,de meest recente versies van Firefox,Chrome en ik heb Kaspersky Pure 3.0 als beveiliging.Ik gebruik geen Open DNS.Ik zit nu bij familie in het butenland;werk daar via de wifi-verbinding vd familie.In geval van een ernstig DNS probleem,wat moet ik dan doen? Een herinstallatie van windows? En:of moet er iets met de router gebeuren,een reset of zo? En certificaten,daar weet ik niks van en doe ik niks mee.Ik ben in de veronderstelling dat windows op mijn pc dit zelf regelt,via windows update of zo.Zo niet,waar en hoe moet ik dan nieuwe certificaten halen?
12-10-2014, 10:11 door Fwiffo
@TS 20:25: Voor je iets drastisch doet als een herinstallatie; lees http://support.kaspersky.com/us/9927#block1 eens (hoop dat dat de goede site is). Kaspersky kan binnen SSL encryptie in je browser op virussen scannen maar hiervoor moet je bijvoorbeeld in Opera wel hun MITM certificaat installeren in de browser. Vrij drastisch allemaal.

Ik denk dat Erik ook nog wel iets zinnigs zou kunnen zeggen over deze feature in Kaspersky Pure 3.0 (wil je een Russisch bedrijf een root certificate in je browser laten installeren?). Maar het is wel allemaal mogelijk tegenwoordig. Andere virusscanners zullen gelijkwaardige technologie hebben dus het best is deze 'feature' uit te zetten en gewoon Kaspersky te blijven gebruiken.
12-10-2014, 19:17 door Erik van Straten - Bijgewerkt: 12-10-2014, 19:18
Door Anoniem: Hier de TS,ik gebruik windows vista,met daarbovenop windows 7 32 bits,de meest recente versies van Firefox,Chrome en ik heb Kaspersky Pure 3.0 als beveiliging.Ik gebruik geen Open DNS.Ik zit nu bij familie in het butenland;werk daar via de wifi-verbinding vd familie.In geval van een ernstig DNS probleem,wat moet ik dan doen?
Heb je DNS getest zoals ik hierboven aangaf (met nslookup)? Wat was het resultaat?

Als je (soms) een ander adres krijgt voor security.nl is mogelijk de router/modem van jouw familie gehacked. Meestal krijg je via DHCP instellingen van zo'n router, en gebruikelijk is dat die router zelf als lokale DNS server optreedt. Normaal is dat die router, op zijn beurt, met DNS servers van de ISP communiceert. Echter, als de router gehacked is, kan deze met DNS servers van aanvallers communiceren, en die kunnen IP-adressen naar keuze retourneren.

Het beste is natuurlijk zorgen dat de router/modem weer betrouwbaar wordt, maar vaak weten eigenaars niet eens het beheerwachtwoord. Resetten zou kunnen helpen, maar ook net zo goed niet.

In zo'n situatie kun je proberen jouw computer van een meer betrouwbare DNS server gebruik te laten maken, bijvoorbeeld de publieke DNS servers van Google (8.8.8.8 en 8.8.4.4). In http://www.helpmij.nl/forum/showthread.php/579999-Instellen-alternatieve-DNS-server lees je hoe je 1 of meer IP-adressen van alternatieve DNS servers instelt (ik heb niet gecontroleerd of die uitleg klopt).

Je kunt ook, voordat je Windows instellingen aanpast, kijken of je middels nslookup met de Google DNS servers kunt communiceren. De vette tekst is wat ik heb ingevoerd (steeds gevolgd door de Enter toets):

C:\>nslookup
Default Server: Mijn_Router
Address: 192.168.1.254

> www.security.nl
Server: Mijn_Router
Address: 192.168.1.254

Non-authoritative answer:
Name: www.security.nl
Address: 213.156.0.246

> server 8.8.8.8
Default Server: google-public-dns-a.google.com
Address: 8.8.8.8

> www.security.nl
Server: google-public-dns-a.google.com
Address: 8.8.8.8

Non-authoritative answer:
Name: www.security.nl
Address: 213.156.0.246

> exit
C:\>

Als eerste (achter C:\>) heb ik nslookup gestart. Het eerste dat nslookup mij vertelt is wat de huidige DNS server is (dat is mijn router). Achter de volgende > voer ik in: www.security.nl (gevolgd door de Enter toets). Mijn router vraagt bij mijn ISP na wat het IP-adres is van www.security.nl en vertelt mij het antwoord.
Daarna voer ik in: server 8.8.8.8 gevolgd door de Enter toets). Daarmee vertel ik nslookup dat deze niet meer mijn router moet raadplegen, maar een DNS server met IP-adres 8.8.8.8. In het antwoord zie je een bevestiging dat dit een DNS server is van Google.
Ik stel opnieuw de vraag: wat is het IP-adres van www.security.nl? Google geeft mij (zoals verwacht) exact hetzelfde antwoord.

Ik sluit niet uit dat de router dusdanig gehacked kan zijn dat DNS verkeer met andere DNS servers wordt geblokkeerd. Als het je niet lukt van andere DNS servers gebruik te maken, is dat des te meer een aanwijzing dat die router/modem eens "goed in bad" moet.

Een herinstallatie van windows?
Zo te horen heb je de beveiliging van jouw PC behoorlijk voor elkaar, het is een gok maar ik verwacht niet dat herinstallatie iets uit zal halen.

En certificaten,daar weet ik niks van en doe ik niks mee.
De foutmelding in jouw eerste bijdrage heeft alles te maken met certificaten. Of je het wilt of niet, je hebt ermee te maken en dat gaat alleen nog maar meer worden. Ik vrees dat idereen die veilig wil internetten daar iets van zal moeten snappen.

Ik ben in de veronderstelling dat windows op mijn pc dit zelf regelt,via windows update of zo.
Zoals ik eerder schreef, als je Firefox (en Windows) up-to-date houdt hoef je niets handmatigs te doen.

Door Fwiffo: Ik denk dat Erik ook nog wel iets zinnigs zou kunnen zeggen over deze feature in Kaspersky Pure 3.0 (wil je een Russisch bedrijf een root certificate in je browser laten installeren?). Maar het is wel allemaal mogelijk tegenwoordig. Andere virusscanners zullen gelijkwaardige technologie hebben dus het best is deze 'feature' uit te zetten en gewoon Kaspersky te blijven gebruiken.
Kaspersky behoort tot de meer geavanceerde virusscanners. Of je een Russisch bedrijf (met een excentrieke baas als Eugene Kaspersky) wel of niet vertrouwt moet je zelf bepalen. Ik heb een tijdje Pure gedraaid maar liep tegen veel bugs aan daarin. Met KIS (Kaspersky Internet Security) heb ik betere ervaringen.

Het gebruik van SSL inspectie raad ik af omdat webbrowsers (zeker Firefox en Chrome) qua technologie ruim voorlopen (ondersteuning voor technieken als HSTS, nieuwe ciphers etc.) op wat virusscanners (en losse UTM appliances) leveren. Bovendien is het de vraag of en hoe problemen aan internetzijde door de scanner aan jouw webbrowser, en dus aan jou, worden doorgegeven. Op basis van wat de TS schrijft vermoed ik dat zij/hij nu geen gebruik maakt van SSL inspectie, maar dat weet ik niet zeker. Kaspersky doet zijn werk ook heel behoorlijk zonder SSL inspectie.
29-06-2015, 18:02 door Anoniem
Als je PC-datum verkeerd staat om wat voor reden dan ook, bijvoorbeeld 1 januari 2001, dan zal je ook deze foutmelding krijgen van veel sites zo heb ik ondervonden. Dit komt omdat het beveiligingscertificaat een bepaalde periode omvat, bv januari 2012 t/m januari 2016. Als er buiten deze periode verbinding wordt gemaakt van de site, zal firefox zeggen dat er geen geldig beveiligingscertificaat is
29-06-2015, 20:01 door Anoniem
Door Anoniem: Als je PC-datum verkeerd staat om wat voor reden dan ook, bijvoorbeeld 1 januari 2001, dan zal je ook deze foutmelding krijgen van veel sites zo heb ik ondervonden. Dit komt omdat het beveiligingscertificaat een bepaalde periode omvat, bv januari 2012 t/m januari 2016. Als er buiten deze periode verbinding wordt gemaakt van de site, zal firefox zeggen dat er geen geldig beveiligingscertificaat is
Haha, herkenbaar. Na een nieuwe install van Windows 7 kon ik bijna geen enkele website benaderen. Heb me een slag in de rondte lopen zoeken naar de oorzaak bleek dat het jaartal om de een of andere reden een paar jaar was terug gezet. Dat had ik pas in de gaten toen een website mij meldde dat mijn klok afwijkte ten opzichte van de locatie waarin ik mij bevond. Behalve de tijd bleek dus ook het jaartal niet te kloppen. Tja, soms heel soms is al die marketing spyshit weleens handig....
30-06-2015, 01:10 door Anoniem
Als ik nslookup doet met www.security.nl dan krijg ik IP adres: 190.93.241.205
Is dirt normaal en zo niet wat is er aan te doen?
Martin
30-06-2015, 20:57 door Anoniem
Door Anoniem: Als ik nslookup doet met www.security.nl dan krijg ik IP adres: 190.93.241.205
Is dirt normaal en zo niet wat is er aan te doen?
Martin

Dat heb ik ook en het is normaal. De adressen 190.93.241.205 en 190.93.242.205 zijn van Cloudflare, een CDN (https://www.cloudflare.com/)

peter
30-06-2015, 21:46 door Anoniem
Door Anoniem:
Door Anoniem: Als je PC-datum verkeerd staat om wat voor reden dan ook, bijvoorbeeld 1 januari 2001, dan zal je ook deze foutmelding krijgen van veel sites zo heb ik ondervonden. Dit komt omdat het beveiligingscertificaat een bepaalde periode omvat, bv januari 2012 t/m januari 2016. Als er buiten deze periode verbinding wordt gemaakt van de site, zal firefox zeggen dat er geen geldig beveiligingscertificaat is
Haha, herkenbaar. Na een nieuwe install van Windows 7 kon ik bijna geen enkele website benaderen. Heb me een slag in de rondte lopen zoeken naar de oorzaak bleek dat het jaartal om de een of andere reden een paar jaar was terug gezet. Dat had ik pas in de gaten toen een website mij meldde dat mijn klok afwijkte ten opzichte van de locatie waarin ik mij bevond. Behalve de tijd bleek dus ook het jaartal niet te kloppen. Tja, soms heel soms is al die marketing spyshit weleens handig....

Zo simpel kan de oplossing zijn!
Ik denk dat er veel gebruikers zijn die per ongeluk een verkeerde systeemdatum hebben en aanlopen tegen dit probleem.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.