Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Firefoxgebruikers in problemen door ssl-filter virusscanner

donderdag 7 januari 2016, 11:30 door Redactie, 11 reacties

Sinds 1 januari van dit jaar kunnen sommige Firefoxgebruikers geen https-sites meer bezoeken, omdat hun virusscanner het versleutelde verkeer probeert te onderscheppen. Mozilla besloot om sinds dit jaar nieuwe ssl-certificaten die met het sha-1-algoritme zijn gesigneerd in Firefox te blokkeren, maar is vanwege de problemen bij gebruikers daar nu op teruggekomen.

Het sha-1-algoritme wordt gebruikt voor het signeren van ssl-certificaten. De veiligheid van het algoritme ligt al langere tijd onder vuur omdat het steeds kwetsbaarder voor collision-aanvallen wordt. Bij een collision-aanval is het mogelijk om een vals ssl-certificaat te maken, waarbij de sha-1-hash nog steeds overeenkomt met de hash van het legitieme certificaat dat door een Certificaat Autoriteit is uitgegeven.

De ingevoerde sha-1-blokkade heeft voor Firefoxgebruikers met ongefilterde toegang tot het internet weinig impact en volgens Mozilla zal deze groep er dan ook weinig van merken. Dat geldt niet voor Firefoxgebruikers die achter 'man-in-the-middle-oplossingen' zitten, zoals anti-virusprogramma's en beveiligingspakketten die https-verkeer filteren. De aanpassing van Firefox zorgt er namelijk voor dat deze gebruikers geen https-sites meer kunnen bezoeken.

Als deze gebruikers een https-site bezoeken stuurt de virusscanner of het beveiligingspakket dat de man-in-the-middle uitvoert een nieuw sha-1-certificaat naar Firefox, in plaats van het echte ssl-certificaat van de website. Op deze manier kan het verkeer worden gefilterd en gecontroleerd. Aangezien Firefox sinds 1 januari nieuwe sha-1-certificaten blokkeert, kan er geen verbinding met de website worden gemaakt. De website maakt in dit geval gebruik van een sha-1-certificaat dat voor 1 januari 2016 is uitgegeven. Deze certificaten worden nog niet door Firefox geblokkeerd. De virusscanner genereert echter een certificaat met een datum na 1 januari 2016, dat wel wordt geblokkeerd.

Oplossing

Gebruikers die hiermee te maken hebben krijgen van Mozilla het advies om een nieuwe versie van Firefox te installeren. In deze versie is sha-1-ondersteuning namelijk weer ingeschakeld, om problemen bij sommige Firefoxgebruikers met anti-virusprogramma's te voorkomen. Dit moet wel handmatig via een andere browser gebeuren, omdat Firefox-updates alleen over https worden aangeboden, wat bij deze gebruikers niet zal werken. Technische gebruikers kunnen Firefox zo instellen dat sha-1-certificaten toch worden geaccepteerd. Verder kan het ook helpen om de virusscanner te updaten, omdat sommige fabrikanten zijn gestopt met het gebruik van sha-1. Uiteindelijk wil Firefox de sha-1-blokkade voor nieuwe ssl-certificaten doorzetten, maar wanneer dit nu zal zijn is onbekend.

Europol rolt bende op die geldautomaten via malware leegde
Drupal-sites kwetsbaar door onveilig updateproces
Reacties (11)
07-01-2016, 12:30 door Anoniem
Heb ik het mis of is dit weer een enorm bewijs van nonchalanche aan de kant van av producenten?
Als je een MitM uitvoert, doe het dan tenminste veilig en zorg ervoor dat als de markt richting veiliger certificaatgebruik beweegt, dus het afstand doen van sha1, jij als "av (kom maar hier met je centjes) boer" daarin mee voorop loopt.
Anders gezegd, valt dit niet in de categorie vette deegwaren rozijnen in vet als je dat niet doet?
07-01-2016, 13:01 door Anoniem
Met andere woorden de computerbeveiligingsindustrie zorgt ervoor dat onveilige standaarden niet kunnen worden afgeschaft door er zelf gebruik van te maken in hun "beveiligingsproducten", en software die die onveilige standaarden niet langer ondersteunt krijgt daardoor een slechte naam... Met en beetje paranoia zou je de anti-virus industrie van het over de ruggen van de consumenten instandhouden van het eigen verdienmodel kunnen verdenken.
07-01-2016, 14:07 door Anoniem
Door Anoniem: Met en beetje paranoia zou je de anti-virus industrie van het over de ruggen van de consumenten instandhouden van het eigen verdienmodel kunnen verdenken.
Joh, wat zeg jij nou? Zouden ze dat doen? /sarcasm
07-01-2016, 14:17 door Anoniem
Mozilla:
If you want to avoid reinstalling, advanced users can fix their local copy of Firefox by going to about:config and changing the value of “security.pki.sha1_enforcement_level” to 0 (which will accept all SHA-1 certificates).
Maar door dit te doen wordt de wijziging ingesteld als "user preference", waardoor dit de standaardwaarde zal overriden. Dit betekent dat als Mozilla straks weer standaard SHA1 gaat blokkere, de mensen die deze instelling hebben gewijzigd nog steeds SHA1-certificaten blijven accepteren. Een slecht idee van Mozilla, dus.
07-01-2016, 17:40 door Anoniem
Dus, AV eraf. Jammer dat Mozilla er op terug gekomen is.
07-01-2016, 18:34 door Anoniem
Ik zou willen weten welke AVs.
07-01-2016, 19:09 door Anoniem
Waarom gebruikt het ssl-virus-scan-filter dan niet gewoon een eigen SHA-2 certificate?
07-01-2016, 21:15 door Anoniem
Door Anoniem: Waarom gebruikt het ssl-virus-scan-filter dan niet gewoon een eigen SHA-2 certificate?
Omdat je browser dan niet meer waarschuwt als je een website met een SHA1 certificaat bezoekt...
07-01-2016, 21:47 door Anoniem
Door Anoniem:
Mozilla:
If you want to avoid reinstalling, advanced users can fix their local copy of Firefox by going to about:config and changing the value of “security.pki.sha1_enforcement_level” to 0 (which will accept all SHA-1 certificates).
Maar door dit te doen wordt de wijziging ingesteld als "user preference", waardoor dit de standaardwaarde zal overriden. Dit betekent dat als Mozilla straks weer standaard SHA1 gaat blokkere, de mensen die deze instelling hebben gewijzigd nog steeds SHA1-certificaten blijven accepteren. Een slecht idee van Mozilla, dus.

Wil je dit niet teruggedraaid hebben?

Het stond zo en kan je dus zelf weer zo zetten onder je about:config.
security.pki.sha1_enforcement_level;2

Het was aardig geweest als er ook een uitleg was geweest bij andere mogelijke settings als "1" , "2" , 3?
07-01-2016, 23:20 door Anoniem
Het stond zo en kan je dus zelf weer zo zetten onder je about:config.
security.pki.sha1_enforcement_level;2

Het was aardig geweest als er ook een uitleg was geweest bij andere mogelijke settings als "1" , "2" , 3?

0 = SHA-1 toestaan
1 = SHA-1 verbieden
2 = SHA-1 toestaan tot aan 1 januari 2016

(bron: https://bugzilla.mozilla.org/show_bug.cgi?id=942515)

Goeroehoedjes
08-01-2016, 01:33 door maarten1001
Door Anoniem: Het was aardig geweest als er ook een uitleg was geweest bij andere mogelijke settings als "1" , "2" , 3?

Ik heb op Bugzilla deze uitleg van de levels gevonden:
Define an integer pref security.pki.sha1_enforcement_level, with values:
0 = allow SHA-1
1 = forbid SHA-1
2 = allow SHA-1 only if notBefore < 2016-01-01
Bron: https://bugzilla.mozilla.org/show_bug.cgi?id=942515#c32
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Digitaal monitoren van werknemers op de werkvloer:

15 reacties
Aantal stemmen: 940
Certified Secure
Edward Snowden: How Your Cell Phone Spies on You
01-12-2019 door donderslag

Hij zegt echt een hele hoop, maar er zijn een tweetal punten die ik er uit wil halen: 1. Je telefoon staat pas echt uit als de ...

32 reacties
Lees meer
Juridische vraag: Is de norm 'goed werknemerschap' aan de orde wanneer een werkgever een 2FA-app op de privételefoon verplicht?
27-11-2019 door Arnoud Engelfriet

Als werkgever in een gebied waar met gevoelige persoonsgegevens wordt gewerkt, zie ik mezelf verplicht om 2factor authenticatie ...

49 reacties
Lees meer
Nieuwe provider Freedom Internet zet in op privacy en veiligheid
11-11-2019 door Redactie

Nederland is vandaag een nieuwe internetprovider rijker die zegt zich te zullen inzetten voor privacy, veiligheid en vrijheid. ...

47 reacties
Lees meer
Vacature
Image

CTF/Challenge Developer

Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?

Lees meer
'Ransomware komt voornamelijk binnen via Office-macro'
11-11-2019 door Redactie

Wanneer het over cyberaanvallen gaat worden vaak termen als geavanceerd of geraffineerd gebruikt, maar in de praktijk blijkt ...

30 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2019 Security.nl - The Security Council
RSS Twitter