image

Firefox krijgt nieuw wapen tegen ingetrokken certificaten

woensdag 4 maart 2015, 14:16 door Redactie, 6 reacties

De volgende versie van Firefox krijgt een nieuw wapen dat gebruikers tegen ingetrokken SSL-certificaten moet beschermen. SSL-certificaten worden gebruikt voor het opzetten van beveiligde verbindingen tussen bezoekers en websites en het identificeren van websites. Het komt echter voor dat SSL-certificaten worden ingetrokken. Het is dan belangrijk dat browsers deze certificaten niet meer vertrouwen, anders zouden gebruikers bijvoorbeeld het doelwit van Man-in-the-Middle- of phishingaanvallen kunnen worden.

Firefox beschikt op dit moment over het Online Certificate Status Protocol (OCSP) om ingetrokken certificaten te herkennen, maar dit systeem kent verschillende beperkingen. Zo kan het opzetten van een beveiligde verbinding langer duren omdat eerst wordt gecontroleerd of het aangeboden certificaat niet is ingetrokken. Daarnaast moet de OCSP-server kunnen worden bereikt. Mozilla gaat daarom een oplossing aan Firefox 37 toevoegen in de vorm van OneCRL.

OneCRL versnelt het controleren op ingetrokken certificaten door een gecentraliseerde lijst van ingetrokken certificaten bij te houden en die naar browsers te sturen. In het geval er nu een incident plaatsvindt waarbij een certificaat is ingetrokken, brengt Mozilla een update voor Firefox uit. Dit is een trage methode, omdat het enige tijd kan duren voordat gebruikers de beveiligingsupdate ontvangen en hun browsers herstarten.

Blocklisting

Firefox beschikt echter al over een mechanisme om periodiek op schadelijke zaken te controleren, zoals kwaadaardige add-ons, plug-ins en buggy drivers, die vervolgens via "blocklisting" worden geblokkeerd. OneCRL zal de blocklist nu met ingetrokken certificaten uitbreiden. Zo krijgen gebruikers toch de informatie over ingetrokken certificaten, zonder dat hiervoor een update is vereist of ze hun browser moeten herstarten.

Een ander voordeel van OneCRL is snelheid. Er hoeven namelijk geen "live checks" meer worden uitgevoerd, dus er ontstaat geen extra vertraging door de certificaatcontrole. Op dit moment dekt OneCRL alleen "CA intermediate certificaten" om de omvang van de blocklist te beperken. Mozilla is echter van plan om OneCRL verder uit te breiden. Firefox 37 waar OneCRL aan is toegevoegd bevindt zich nog in de bètafase. De uiteindelijke versie staat gepland voor de week van 7 april.

Reacties (6)
04-03-2015, 14:36 door [Account Verwijderd] - Bijgewerkt: 04-03-2015, 14:37
[Verwijderd]
04-03-2015, 18:55 door Anoniem
Heeft Firefox nou eigenlijk al een veilige rootcert store waar updates op gedaan kunnen worden?
Regelmatig lees je "firefox dit en firefox dat" met betrekking tot intrekken van certificaten enzo, maar altijd was dat dan
alleen in de nieuwste versie. Gebruikers van oudere versies krijgen dat soort updates niet.
(i.t.t. de situatie bij Internet Explorer)
05-03-2015, 16:07 door Joep Lunaar - Bijgewerkt: 05-03-2015, 16:09
Door Anoniem: Heeft Firefox nou eigenlijk al een veilige rootcert store waar updates op gedaan kunnen worden?
Regelmatig lees je "firefox dit en firefox dat" met betrekking tot intrekken van certificaten enzo, maar altijd was dat dan
alleen in de nieuwste versie. Gebruikers van oudere versies krijgen dat soort updates niet.
(i.t.t. de situatie bij Internet Explorer)

MS IE gebruikt voor root certificates de system service van MS Windows en updates daarvan komen typisch via MS Windows Updates. De frequentie van deze updates is bepaald door de cyclus voor releases van MS Windows updates.
De frequentie van major releases van firefox is elke 6 weken. Met voor kritische kwesties punt releases (35.1, 35.2 enz) tussendoor en blacklists - vanaf FF 37, dus ook voor ingetrokken certificaten - worden met hoge frequentie gecontroleerd.

Bedenk nu zelf welke browser betere bescherming geeft ...
05-03-2015, 17:18 door Anoniem
Die
Door Joep Lunaar:
Door Anoniem: Heeft Firefox nou eigenlijk al een veilige rootcert store waar updates op gedaan kunnen worden?
Regelmatig lees je "firefox dit en firefox dat" met betrekking tot intrekken van certificaten enzo, maar altijd was dat dan
alleen in de nieuwste versie. Gebruikers van oudere versies krijgen dat soort updates niet.
(i.t.t. de situatie bij Internet Explorer)

MS IE gebruikt voor root certificates de system service van MS Windows en updates daarvan komen typisch via MS Windows Updates. De frequentie van deze updates is bepaald door de cyclus voor releases van MS Windows updates.
De frequentie van major releases van firefox is elke 6 weken. Met voor kritische kwesties punt releases (35.1, 35.2 enz) tussendoor en blacklists - vanaf FF 37, dus ook voor ingetrokken certificaten - worden met hoge frequentie gecontroleerd.

Bedenk nu zelf welke browser betere bescherming geeft ...

Die van Microsoft. Want die updates kun je onafhankelijk installeren.
Updates van Firefox wil je echt niet op de voet volgen. Daarvoor is het risico op breakage veel te groot. Ik loop minstens
1 versie achter op de bleeding edge en als het echt belangrijk is dan gebruik ik ESR en dan nog pas een paar weken
na release. Firefox maakt gewoon teveel kapot in releases. Wat dat betreft is het ook vervelend dat ze security releases
en feature releases niet uit elkaar trekken, zoals Microsoft wel doet.

Maar dat betekent dan dat je ook geen certificaat updates kunt ontvangen want die zijn meegebakken in de code.
Jammer jammer jammer.
05-03-2015, 22:09 door Anoniem
Door Anoniem:Die van Microsoft. Want die updates kun je onafhankelijk installeren.
Updates van Firefox wil je echt niet op de voet volgen. Daarvoor is het risico op breakage veel te groot. Ik loop minstens 1 versie achter op de bleeding edge en als het echt belangrijk is dan gebruik ik ESR en dan nog pas een paar weken na release. Firefox maakt gewoon teveel kapot in releases. Wat dat betreft is het ook vervelend dat ze security releases en feature releases niet uit elkaar trekken, zoals Microsoft wel doet.
Als je gewoon ESR installeert heb je—net zoals bij Microsoft—enkel security updates en geen nieuw functionaliteiten die voor fouten kunnen zorgen. Wanneer de nieuwe ESR uitkomt is heb je zo'n twee maanden de tijd om te updaten naar de nieuwe ESR.
Ik zie geen problemen met dit release model. Wil je stabiliteit, dan biedt ESR dat (mét security updates).
06-03-2015, 13:36 door Anoniem
Door Anoniem:
Door Anoniem:Die van Microsoft. Want die updates kun je onafhankelijk installeren.
Updates van Firefox wil je echt niet op de voet volgen. Daarvoor is het risico op breakage veel te groot. Ik loop minstens 1 versie achter op de bleeding edge en als het echt belangrijk is dan gebruik ik ESR en dan nog pas een paar weken na release. Firefox maakt gewoon teveel kapot in releases. Wat dat betreft is het ook vervelend dat ze security releases en feature releases niet uit elkaar trekken, zoals Microsoft wel doet.
Als je gewoon ESR installeert heb je—net zoals bij Microsoft—enkel security updates en geen nieuw functionaliteiten die voor fouten kunnen zorgen. Wanneer de nieuwe ESR uitkomt is heb je zo'n twee maanden de tijd om te updaten naar de nieuwe ESR.
Ik zie geen problemen met dit release model. Wil je stabiliteit, dan biedt ESR dat (mét security updates).
Met dien verstande dat je dan dus ook niet de updates hebt waar het hierboven over gaat (dus intrekken certificaten)
ALs je dat probleem niet ziet dan ben je wel erg blind.

En als je denkt dat het maar gezeur is over die bugs en problemen met nieuwe Firefox releases, nou lees dan maar
dat artikel over de release 36.0.1
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.