image

Google zegt vertrouwen op in certificaten Chinese CA CNNIC

donderdag 2 april 2015, 09:56 door Redactie, 11 reacties
Laatst bijgewerkt: 02-04-2015, 10:16

Vanwege een recent incident met onterecht uitgegeven SSL-certificaten voor Google-websites heeft Google het vertrouwen in de Chinese certificaatautoriteit (CA) CNNIC opgezegd, waardoor Google-producten zoals Chrome de certificaten van CNNIC niet meer zullen erkennen. Iets wat via een toekomstige update voor Chrome zal worden doorgevoerd. Aangezien dit zeer grote gevolgen voor met name Chinese Chrome-gebruikers zal hebben heeft Google besloten om de onder CNNIC uitgegeven SSL-certificaten tijdelijk nog toe te staan door ze op een publieke whitelist te plaatsen.

Aanleiding voor de maatregel is de recente ontdekking van malafide SSL-certificaten voor verschillende Google-domeinen, die door het Egyptische bedrijf MCS Holding waren aangemaakt. Het bedrijf had hiervoor de mogelijkheid gekregen van CNNIC, dat een root CA is. Als root CA wordt CNNIC door alle grote browsers vertrouwd. CNNIC had een intermediate certificaat voor MCS Holding uitgegeven, waarmee het bedrijf voor willekeurige domeinen SSL-certificaten kon aanmaken. Omdat het intermediate certificaat van CNNIC afkomstig was, werden deze aangemaakt SSL-certificaten ook door browsers vertrouwd.

Volgens MCS Holding zorgde een menselijke fout ervoor dat het bestaan van de malafide Google-certificaten werd ontdekt. Google, Microsoft en Mozilla besloten daarom deze certificaten te blokkeren. Daarbij werd het CNNIC zwaar aangerekend dat het MCS Holding een intermedia certificaat had gegeven, waarmee het Chinese bedrijf allerlei regels had overtreden. Na verder onderzoek heeft Google nu besloten om het vertrouwen in CNNIC helemaal op te zeggen.

Certificate Transparency

Google stelt in een verklaring dat het denkt dat er geen andere ongeautoriseerde SSL-certificaten zijn uitgegeven, of dat de malafide Google-certificaten buiten de testomgeving van MCS Holding zijn gebruikt. Wat betreft de Chinese certificaatautoriteit moet die van Google eerst "Certificate Transparency" implementeren voordat een eventueel verzoek over het opnieuw vertrouwen van CNNIC wordt overwogen.

Certificate Transparency is een door Google ontwikkelde technologie en is bedoeld om verschillende structurele fouten in het SSL-certificaatsysteem te verhelpen. Daardoor moeten onterecht uitgegeven en malafide SSL-certificaten eerder worden ontdekt. Ook Mozilla heeft besloten om Certificate Transparency te ondersteunen.

Update

CNNIC noemt de beslissing van Google onacceptabel en onverstandig. De Chinese CA roept Google dan ook op om de belangen en rechten van gebruikers in overweging te nemen. Aan klanten laat CNNIC weten dat hun rechten en belangen niet in het geding zullen komen.

Reacties (11)
02-04-2015, 10:42 door Anoniem
"CNNIC noemt de beslissing van Google onacceptabel en onverstandig."

Uiteraard. Maar de wereld noemt te beslissing om een signing certificaat te verstrekken aan een klant onacceptabel
en onverstandig.
Zoals men bij Diginotar al weet kun je vertrouwen niet afdwingen. Als je het schendt dan ben je weg en kun je niet meer
gaan roepen "er vertrouwen zoveel mensen op ons, vertrouw ons aub!".
02-04-2015, 10:58 door Anoniem
In dit systeem wat werkt op vertrouwen moet dit het gevolg zijn. Als men zegt, kan gebeuren, niet meer doen zal een Root CA misschien net iets makkelijker omgaan met zijn procedures.
Ben benieuwd of Google het zelfde doet als het binnenkort Comodo of nog heftiger Verisign is.
02-04-2015, 11:23 door Anoniem
Ik vind het niet juist om de certificaten die MCS aanmaakte malafide te noemen. Het was onacceptabel dat ze het deden en dat CNNIC dat faciliteerde, maar het lijkt niet uit kwaadaardigheid te zijn gebeurd maar uit incompetentie.

Google noemt ze in hun verklaring ook niet malicious, maar gebruikt woorden als unauthorized en misissued.
02-04-2015, 11:30 door sjonniev
Dit had ook Comodo en Trustwave mogen overkomen...
02-04-2015, 13:46 door Anoniem
Door Anoniem: Ik vind het niet juist om de certificaten die MCS aanmaakte malafide te noemen. Het was onacceptabel dat ze het deden en dat CNNIC dat faciliteerde, maar het lijkt niet uit kwaadaardigheid te zijn gebeurd maar uit incompetentie.

Google noemt ze in hun verklaring ook niet malicious, maar gebruikt woorden als unauthorized en misissued.

Intermediate CA certificaten mag je NOOIT zomaar uitgeven. Die moeten op een HSM worden geplaatst waar de key niet uit kan worden gehaald. Dit is blijkbaar hierbij totaal niet gedaan. Dan ga je tegen de regels in en vlieg je er uit.
02-04-2015, 14:24 door Anoniem
Door Anoniem: Ik vind het niet juist om de certificaten die MCS aanmaakte malafide te noemen. Het was onacceptabel dat ze het deden en dat CNNIC dat faciliteerde, maar het lijkt niet uit kwaadaardigheid te zijn gebeurd maar uit incompetentie.

Google noemt ze in hun verklaring ook niet malicious, maar gebruikt woorden als unauthorized en misissued.

Ik ben van mening dat het wel malafide is, anders hadden ze zelf het certificaat terug kunnen trekken, wat ze niet deden. Mensenlijke fout, lijkt mij dat je bewust zoiets uitgeeft, en niet perongeluk. Partijen die dit doen, mogen per direct een ban krijgen. Procedures zijn niet op orde, zorgen voor "nog onveiliger internet". Tevens is het niet de eerste keer dan CNNIC CA de fout in gaat. Is al meerdere keren gebeurd. Ze werden als veilig gezien in 2010 door de browsers, in 2013 zijn ze de eerste keer de fout in gegaan, en begin 2014 nogmaals. En nu dit bericht. 3striks vind ik in dit geval nog steeds te veel, aangezien miljoenen mensen de dupe zijn geworden.

Hele goede keus van Google, Microsoft en Firefox, uiteindelijke doel, een stukje veiliger internet.
02-04-2015, 14:24 door Anoniem
Volgens MCS Holding zorgde een menselijke fout ervoor dat het bestaan van de malafide Google-certificaten werd ontdekt.

Ik hoop dat er meer van dergelijke menselijke fouten worden gemaakt.

Peter
02-04-2015, 14:41 door [Account Verwijderd] - Bijgewerkt: 02-04-2015, 14:42
[Verwijderd]
02-04-2015, 19:23 door Anoniem
Door Anoniem: Ik vind het niet juist om de certificaten die MCS aanmaakte malafide te noemen. Het was onacceptabel dat ze het deden en dat CNNIC dat faciliteerde, maar het lijkt niet uit kwaadaardigheid te zijn gebeurd maar uit incompetentie.

Incompetentie is voldoende om uitgesloten te worden. Immers het hele systeem drijft (nog een beetje) op het feit dat alle
uitgevers competent zijn. 1 incompetente uitgever laat het hele systeem instorten. Dat mag niet gebeuren.
02-04-2015, 21:51 door Anoniem
Door Anak Krakatau:
Door Anoniem: Ik vind het niet juist om de certificaten die MCS aanmaakte malafide te noemen. Het was onacceptabel dat ze het deden en dat CNNIC dat faciliteerde, maar het lijkt niet uit kwaadaardigheid te zijn gebeurd maar uit incompetentie.

Google noemt ze in hun verklaring ook niet malicious, maar gebruikt woorden als unauthorized en misissued.
diginotar was ook niet zelf kwaadaardig bezig maar kreeg wel een ban.

Wel degelijk. Ze wisten dat ze waren gehackt. En maakten er geen melding van, en deden er niks mee. Ja, het bewijs vernietigen. Dat is wel degelijk kwaadaardig.
04-04-2015, 16:22 door 0101
Door sjonniev: Dit had ook Comodo en Trustwave mogen overkomen...
Ik denk dat ze dat ook zou zijn overkomen als ze op dit moment in de fout zouden zijn gegaan. Maar het geduld van browsermakers heeft er een tijd over gedaan om op te raken. En het beleid voor falende CA's moest toen nog grotendeels ontwikkeld worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.