Facebook en CloudFlare willen uitstel van SHA-1-deadline
Facebook en CloudFlare hebben opgeroepen om de nadere deadline voor SSL-certificaten die van het SHA-1-algoritme gebruikmaken uit te stellen, omdat hierdoor straks tientallen miljoenen mensen geen toegang meer tot versleutelde websites hebben.
Uit beveiligingsonderzoek dat eerder dit jaar werd gepubliceerd blijkt dat het veel goedkoper is om SHA-1-certificaten aan te vallen dan voorheen werd aangenomen. Daardoor is het mogelijk om malafide SSL-certificaten voor legitieme websites te genereren, zonder dat die een waarschuwing in de browser veroorzaken. Internetbedrijven hebben daarom afgesproken om de ondersteuning van SHA-1-certificaten te stoppen.
Zo laat Google Chrome al een waarschuwing zien als gebruikers dergelijke certificaten tegenkomen. Andere browsers zullen volgend jaar dit voorbeeld volgen, waarbij uiteindelijk in 2016 alle HTTPS-verbindingen die via een SHA-1-certificaat zijn opgezet niet meer door browsers worden vertrouwd. Voor met name gebruikers van oudere technologie is dit een probleem. De opvolger van SHA-1, SHA-2, wordt door oudere besturingssystemen en software namelijk niet ondersteund. Het gaat dan onder andere om Android versie 2.2 (Froyo), Windows XP met Service Pack 2 en OpenSSL 0.9.8.
Uit onderzoek van CloudFlare onder 2,2 miljard unieke internetgebruikers blijkt dat 98,31% van de browsers SHA-2 ondersteunt. 1,69% doet dat niet. Dit lijkt misschien een klein percentage, maar het gaat nog altijd om meer dan 37 miljoen mensen, voornamelijk in ontwikkelingslanden. Deze gebruikers kunnen straks geen versleutelde websites meer bezoeken, tenzij ze hun apparatuur upgraden. De meeste mensen zonder SHA2-ondersteuning bevinden zich in China en Afrikaanse landen, waaronder repressieve regimes. Juist in deze landen hebben mensen encryptie nodig, stelt CloudFlare.
Het bedrijf heeft een oplossing ontwikkeld, zodat websites standaard SHA-2-certificaten aanbieden, maar op een SHA-1-certificaat kunnen terugvallen als de browser van bezoekers geen SHA-2 ondersteunt. CloudFlare en Facebook pleiten dan ook voor de implementatie van een 'legacy-certificaat' dat op SHA-1 kan terugvallen, maar als dit niet voor 31 december kan worden gerealiseerd, vragen ze om uitstel van de deadline totdat een standaard voor dergelijke certificaten kan worden opgesteld.
Huh....?
Bij het bezoeken van zo'n website zul je alleen een waarschuwing krijgen; die je kunt omzeilen door 2 kliks;dan werkt alles prima hoor.
En dan is het niet meer te bezoeken???
Fout antwoord.
Die repressieve regimes hoeven dus niet eens veel geld te besteden om hun inwoners te kunnen volgen. Terwijl die inwoners nog gewoon denken dat ze veilig kunnen communiceren.
Peter
Cloudflare heeft boter op haar hoofd want blokkeert zelf hele groepen gebruikers.
Welke gebruikers?
Torbrowser gebruikers!
Gebruikers van een browser die gebruikt wordt door mensen die zich bevinden in landen waar repressie en het beknotten van vrijheid van meningsuiting aan de orde van de dag is.
Het argument deugt maar het bedrijf alleen niet.
Zowel Facebook en cloudflare hebben waarschijnlijk andere argumenten, financiele argumenten waarom ze het niet zo'n goed idee vinden.
Iets met het verzamelen van gebruikers data en het tracken vermoedelijk.
Hield Cludflare namelijk niet al het ipv verkeer bij dat langs haar filters komt?
Torbrowser gebruikers!
Gebruikers van een browser die gebruikt wordt door mensen die zich bevinden in landen waar repressie en het beknotten van vrijheid van meningsuiting aan de orde van de dag is.
Dat valt nog best mee.
Dat blijkt namelijk minder spannend te zijn dan je denkt.
Tor wordt blijkbaar vaak gebruikt door mensen die spam, etc. willen versturen via website (zoals formulieren). Dus zijn de exit IP-adressen van Tor sterk aangemerkt als 'abusive' door CloudFlare. En dus moet je een extra moeilijke captcha invullen. Erg vervelend ?: ja, onmogelijk te gebruiken ?: nee. Een bewijs daarvoor is dat als je een heel nieuwe exit-relay gebruikt dat het wel goed gaat (omdat dat IP-adres nog niet aangemerkt is als bagger).
Huh....?
Bij het bezoeken van zo'n website zul je alleen een waarschuwing krijgen; die je kunt omzeilen door 2 kliks;dan werkt alles prima hoor.
En dan is het niet meer te bezoeken???
Het is geen protocol wijziging, alleen maar in de signing vna certificaten. Dus ik denk dat jij gelijk hebt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.