image

Google gaat rootcertificaat Symantec blokkeren

zondag 13 december 2015, 07:45 door Redactie, 3 reacties

Google gaat de komende weken een rootcertificaat van Symantec blokkeren omdat het niet meer aan de richtlijnen voldoet die door certificaatautoriteiten en ontwikkelaars van browsers en besturingssystemen zijn gesteld. Rootcertificaten worden gebruikt voor het uitgeven van SSL-certificaten.

Via SSL-certificaten kunnen websites onder andere een beveiligde verbinding met bezoekers opstellen. Rootcertificaten bevinden zich in browsers en besturingssystemen. Zodoende wordt een SSL-certificaat dat onder het betreffende rootcertificaat is uitgegeven automatisch vertrouwd. De maatregel van Google volgt op een waarschuwing van Symantec zelf dat het rootcertificaat niet meer aan de regels van het CA/Browser Forum voldoet.

Dit is een consortium van certificaatautoriteiten en softwareontwikkelaars. Doordat het rootcertificaat niet aan de regels voldoet, vormt dit een 'onacceptabel risico' voor de gebruikers van Google, zo stelt Ryan Sleevi, software-engineer bij de internetgigant. Symantec heeft aangegeven dat het rootcertificaat voor andere doelen zal worden gebruikt dan het uitgeven van SSL-certificaten, maar dat is voor Google niet voldoende.

"Doordat dit rootcertificaat niet langer aan de regels van het CA/Browser Forum voldoet, kan Google niet langer garanderen dat het rootcertificaat, of de certificaten die onder dit rootcertificaat worden uitgegeven, niet zullen worden gebruikt voor het onderscheppen, verstoren of nabootsen van de beveiligde communicatie van Google-producten of gebruikers", aldus Sleevi. Certificaten die onder het rootcertificaat worden uitgegeven zullen namelijk automatisch worden vertrouwd. Een aanvaller die zich tussen een internetgebruiker en het internet weet te plaatsen, kan zo versleutelde verbindingen afluisteren.

Maatregel

Aangezien Symantec het doel van het nieuwe rootcertificaat niet wil vertellen en zich volgens Sleevi bewust is van de risico's die het voor Google-gebruikers kan vormen, heeft het beveiligingsbedrijf gevraagd om preventieve maatregelen te nemen en het rootcertificaat niet te vertrouwen. Deze stap is nodig omdat het rootcertificaat op een groot aantal platformen wordt gebruikt, zoals Android, Windows, en Mac OS X-versies voor OS X 10.11. Daardoor zouden certificaten die onder het betreffende rootcertificaat worden uitgegeven op de systemen van vele miljoenen gebruikers worden vertrouwd.

Google zal het rootcertificaat daarom de komende weken in Chrome, Android en andere Google-producten blokkeren. Volgens Symantec zal deze maatregel geen invloed hebben op website-eigenaren die SSL-certificaten van Symantec gebruiken. Naast beveiligingsdiensten levert Symantec ook SSL-certificaten. Hiervoor heeft het verschillende merken, zoals VeriSign, GeoTrust, Thawte en RapidSSL. Al een aantal jaren is Symantec de grootste speler op de markt van SSL-certificaten. Onlangs kwam het beveiligingsbedrijf ook al in een negatief daglicht vanwege het geknoei met dergelijke certificaten en dreigde Google met maatregelen.

Reacties (3)
13-12-2015, 12:17 door Anoniem
Symantec:
Description: This root CA is the root used for Secure Site Pro Certificates, Premium SSL Certificates and Code Signing Certificates. Effective December 1, 2015, Symantec has discontinued the use of the VeriSign G1 root for issuance of public SSL certificates. This root CA will be used to issue non-public SSL certificates. Browsers/root store operators are encouraged to remove/untrust this root from their root stores.

Voor andere systemen, die deze root niet verwijderen is er voorlopig nog wel een probleem:

Valid to: Wednesday, August 02, 2028 3:59:59 PM

Het feit dat Symantec aangeeft dat niemand er last van heeft, wil volgens mij zeggen dat ze die root al drie jaar niet meer gebruiken voor het tekenen van certificaten. Ik heb daar echter geen bevestiging van kunnen vinden. Iemand anders wel?

Peter
13-12-2015, 14:50 door Anoniem
Deze stap is nodig omdat het rootcertificaat op een groot aantal platformen wordt gebruikt, zoals Android, Windows, en Mac OS X-versies voor OS X 10.11.

Zowel de door Google opgegeven naam "Class 3 Public Primary Certification Authority" als het opgegeven SHA 1 fingerprint
A1:DB:63:93:91:6F:17:E4:18:55:09:40:04:15:C7:02:40:B0:AE:6B
zijn niet te vinden (keek ik erover heen?) in diverse Versies van vòòr Mac OS X 10.10.11 .

Betreffende certificaat met opgegeven SHA 1 is wèl te vinden in bijvoorbeeld Firefox (based) browsers maar staat dan niet onder de naam "Symantec" maar onder "Verisign".

Wie het weet mag het zeggen
maar of Google in deze 'your friend is' waag ik bij deze enigszins te betwijfelen.

Ik zag wel ook ergens nog dat Onze Lieve Staat slechts 3 daagjes de tijd heeft om haar huiswerkje te doen.
13-12-2015, 20:08 door Anoniem
Door Anoniem:
Deze stap is nodig omdat het rootcertificaat op een groot aantal platformen wordt gebruikt, zoals Android, Windows, en Mac OS X-versies voor OS X 10.11.

Zowel de door Google opgegeven naam "Class 3 Public Primary Certification Authority" als het opgegeven SHA 1 fingerprint
A1:DB:63:93:91:6F:17:E4:18:55:09:40:04:15:C7:02:40:B0:AE:6B
zijn niet te vinden (keek ik erover heen?) in diverse Versies van vòòr Mac OS X 10.10.11 .

Keek er (14:50 door Anoniem) soort van voorbij.
Certificaat staat niet onder "Symantec" of onder "Verisign" maar onder 'zichzelf' bij de C van "Class 3 Public Primary Certification Authority".
Oeps.
;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.