China censureert berichten Google en Mozilla over CNNIC
De Chinese autoriteiten hebben berichten van Google en Mozilla gecensureerd waarin wordt gemeld dat de Chinese certificaatautoriteit (CA) CNNIC betrokken is geweest bij het uitgeven van malafide Google-certificaten. Dat meldt GreatFire.org, een organisatie die censuur in China monitort.
De malafide Google-certificaten waarvoor Google, Microsoft en Mozilla deze week alarm sloegen waren aangemaakt door het Egyptische bedrijf MCS Holding. Het bedrijf had hiervoor de mogelijkheid gekregen van CNNIC, dat een root CA is. Als root CA wordt CNNIC door alle grote browsers vertrouwd. CNNIC had een intermediate certificaat voor MCS Holding uitgegeven, waarmee het bedrijf voor willekeurige domeinen SSL-certificaten kon aanmaken. Omdat het intermediate certificaat van CNNIC afkomstig was, werden deze aangemaakt SSL-certificaten ook door browsers vertrouwd.
Zowel Mozilla als Google waarschuwden voor de malafide certificaten en kondigden maatregelen aan om hun gebruikers te beschermen. Een bekende Chinese IT-blogger vertaalde het bericht van Google dat zowel door Google als de Chinese zoekmachine Baidu goed werd geïndexeerd. Niet veel later liet de blogger via Twitter weten dat hij een belletje van de overheid had gekregen dat hij zijn bericht direct moest verwijderen, wat hij ook deed. Het artikel van Mozilla werd door verschillende Chinese sites overgenomen, waaronder het door de staat beheerde Huanqiu.
Uiteindelijk werden al deze artikelen verwijderd. "Dit laat opnieuw de rol zien die CNNIC in het censuurapparaat speelt. CNNIC was, is en zal internetcensuur blijven uitoefenen", aldus GreatFire. De organisatie roept Google, Mozilla, Microsoft en Apple dan ook op om het vertrouwen in CNNIC op te zeggen en het rootcertificaat van de organisatie in te trekken om gebruikers wereldwijd te beschermen.
china is verder weg en mag meer dan de us schijnbaar.
Eigenlijk zou het dan ook wel mooi zijn als browsers en besturingssystemen een optie hadden om alle recent gebruikte root certificaten in te zien, met een knop erbij dat alle andere vanaf dat moment eerst een waarschuwing tonen indien ze gebruikt worden.
Noem het: een persoonlijke PKI firewall.
Censuur van dit voor het CNNIC ongunstige nieuws en de wijze waarop CNNIC als Root CA opereert staan dus los van elkaar totdat het tegendeel bewezen is.
Greatfire.org bewijst die relatie niet en haar berichtgeving is daarmee vooral een manier om aandacht voor iets anders te vragen, namelijk het censureren van de pers in China.
Dat mag maar zou dan een andere artikelvorm dienen te hebben.
Wat betreft de oproep van het intrekken van certificaten, dat intrekken gebeurt wel vaker en terecht.
Echter, wordt er bij andere CA's na een dergelijke fout ook direct het hele root recht ingetrokken? Als dat zo is zou het consequent zijn ook op CNNIC toe te passen.
Is dat niet het geval dan zal ook voor China die afweging zorgvuldig gemaakt moeten worden.
Wellicht een beter systeem is dan gebruikers er op te wijzen hoe zij individueel de mogelijkheid hebben om het vertrouwen in bepaalde (root)certificaten op te zeggen in het geval het vertrouwen wel geschaad is maar nog niet geheel officieel is opgeheven.
Maar ja, sowieso, als je de lijsten aan certificaten doorneemt op je computer of in je browser, zul je vele certificaat/CA 'exoten' aantreffen waarvan je je kan afvragen of je die wel nodig hebt en of het meer veiligheid zou bieden die allemaal pro actief alvast uit te schakelen.
Dan daarbij ook nog even advocaat van de tegenpartij spelend, mocht het nieuwsbericht van Greatfire.org meer politiek gemotiveerd zijn geweest, in hoeverre zijn certificaten/Roots eigenlijk te vertrouwen uit bijvoorbeeld de Five/9/11/.. Eyes landen?
Kortom, welke lat leg je langs de beoordeling van de vele aanwezige certificaten en Root Ca's op je systeem buiten de directe concrete aanwijzing van misbruik?
Zou het je veiligheid aanmerkelijk kunnen vergroten als je proactief een grote kam door die lijst zou halen en een hele groep als untrusted zou markeren?
Nuttige adviezen, tips, inzichten daarbij ?
Ik hoor het graag.
china is verder weg en mag meer dan de us schijnbaar.
China staat sowieso niet erg goed in de boeken wat betreft mensenrechten en de vrijheid van meningsuiting, dus wat dat betreft kijk ik er niet van op. Als je daar 6 jaar cel kan krijgen voor het laten staan van een baard is censuur één van de minste problemen.
Wat betreft de VS is het meer een reactie op het zeggen van het staan voor stabiliteit en vrijheid, maar het 'doen' van het tegenovergestelde. Vrijheid van meningsuiting is één van de peilers van het rechtssysteem in de VS, maar onder verschillende kaders zoals nationale veiligheid (waar ook de beurs blijkbaar onder valt) wordt er snel gewrikt aan grondwaarden.
China schept zelfs de illusie van zo'n vrijheid niet.Je bent daar zo vrij als dat je kunt betalen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.