Nieuws
image

Firefoxgebruikers in problemen door ssl-filter virusscanner

donderdag 7 januari 2016, 11:30 door Redactie, 11 reacties

Sinds 1 januari van dit jaar kunnen sommige Firefoxgebruikers geen https-sites meer bezoeken, omdat hun virusscanner het versleutelde verkeer probeert te onderscheppen. Mozilla besloot om sinds dit jaar nieuwe ssl-certificaten die met het sha-1-algoritme zijn gesigneerd in Firefox te blokkeren, maar is vanwege de problemen bij gebruikers daar nu op teruggekomen.

Het sha-1-algoritme wordt gebruikt voor het signeren van ssl-certificaten. De veiligheid van het algoritme ligt al langere tijd onder vuur omdat het steeds kwetsbaarder voor collision-aanvallen wordt. Bij een collision-aanval is het mogelijk om een vals ssl-certificaat te maken, waarbij de sha-1-hash nog steeds overeenkomt met de hash van het legitieme certificaat dat door een Certificaat Autoriteit is uitgegeven.

De ingevoerde sha-1-blokkade heeft voor Firefoxgebruikers met ongefilterde toegang tot het internet weinig impact en volgens Mozilla zal deze groep er dan ook weinig van merken. Dat geldt niet voor Firefoxgebruikers die achter 'man-in-the-middle-oplossingen' zitten, zoals anti-virusprogramma's en beveiligingspakketten die https-verkeer filteren. De aanpassing van Firefox zorgt er namelijk voor dat deze gebruikers geen https-sites meer kunnen bezoeken.

Als deze gebruikers een https-site bezoeken stuurt de virusscanner of het beveiligingspakket dat de man-in-the-middle uitvoert een nieuw sha-1-certificaat naar Firefox, in plaats van het echte ssl-certificaat van de website. Op deze manier kan het verkeer worden gefilterd en gecontroleerd. Aangezien Firefox sinds 1 januari nieuwe sha-1-certificaten blokkeert, kan er geen verbinding met de website worden gemaakt. De website maakt in dit geval gebruik van een sha-1-certificaat dat voor 1 januari 2016 is uitgegeven. Deze certificaten worden nog niet door Firefox geblokkeerd. De virusscanner genereert echter een certificaat met een datum na 1 januari 2016, dat wel wordt geblokkeerd.

Oplossing

Gebruikers die hiermee te maken hebben krijgen van Mozilla het advies om een nieuwe versie van Firefox te installeren. In deze versie is sha-1-ondersteuning namelijk weer ingeschakeld, om problemen bij sommige Firefoxgebruikers met anti-virusprogramma's te voorkomen. Dit moet wel handmatig via een andere browser gebeuren, omdat Firefox-updates alleen over https worden aangeboden, wat bij deze gebruikers niet zal werken. Technische gebruikers kunnen Firefox zo instellen dat sha-1-certificaten toch worden geaccepteerd. Verder kan het ook helpen om de virusscanner te updaten, omdat sommige fabrikanten zijn gestopt met het gebruik van sha-1. Uiteindelijk wil Firefox de sha-1-blokkade voor nieuwe ssl-certificaten doorzetten, maar wanneer dit nu zal zijn is onbekend.

Reacties (11)
07-01-2016, 12:30 door Anoniem
Heb ik het mis of is dit weer een enorm bewijs van nonchalanche aan de kant van av producenten?
Als je een MitM uitvoert, doe het dan tenminste veilig en zorg ervoor dat als de markt richting veiliger certificaatgebruik beweegt, dus het afstand doen van sha1, jij als "av (kom maar hier met je centjes) boer" daarin mee voorop loopt.
Anders gezegd, valt dit niet in de categorie vette deegwaren rozijnen in vet als je dat niet doet?
07-01-2016, 13:01 door Anoniem
Met andere woorden de computerbeveiligingsindustrie zorgt ervoor dat onveilige standaarden niet kunnen worden afgeschaft door er zelf gebruik van te maken in hun "beveiligingsproducten", en software die die onveilige standaarden niet langer ondersteunt krijgt daardoor een slechte naam... Met en beetje paranoia zou je de anti-virus industrie van het over de ruggen van de consumenten instandhouden van het eigen verdienmodel kunnen verdenken.
07-01-2016, 14:07 door Anoniem
Door Anoniem: Met en beetje paranoia zou je de anti-virus industrie van het over de ruggen van de consumenten instandhouden van het eigen verdienmodel kunnen verdenken.
Joh, wat zeg jij nou? Zouden ze dat doen? /sarcasm
07-01-2016, 14:17 door Anoniem
Mozilla:
If you want to avoid reinstalling, advanced users can fix their local copy of Firefox by going to about:config and changing the value of “security.pki.sha1_enforcement_level” to 0 (which will accept all SHA-1 certificates).
Maar door dit te doen wordt de wijziging ingesteld als "user preference", waardoor dit de standaardwaarde zal overriden. Dit betekent dat als Mozilla straks weer standaard SHA1 gaat blokkere, de mensen die deze instelling hebben gewijzigd nog steeds SHA1-certificaten blijven accepteren. Een slecht idee van Mozilla, dus.
07-01-2016, 17:40 door Anoniem
Dus, AV eraf. Jammer dat Mozilla er op terug gekomen is.
07-01-2016, 18:34 door Anoniem
Ik zou willen weten welke AVs.
07-01-2016, 19:09 door Anoniem
Waarom gebruikt het ssl-virus-scan-filter dan niet gewoon een eigen SHA-2 certificate?
07-01-2016, 21:15 door Anoniem
Door Anoniem: Waarom gebruikt het ssl-virus-scan-filter dan niet gewoon een eigen SHA-2 certificate?
Omdat je browser dan niet meer waarschuwt als je een website met een SHA1 certificaat bezoekt...
07-01-2016, 21:47 door Anoniem
Door Anoniem:
Mozilla:
If you want to avoid reinstalling, advanced users can fix their local copy of Firefox by going to about:config and changing the value of “security.pki.sha1_enforcement_level” to 0 (which will accept all SHA-1 certificates).
Maar door dit te doen wordt de wijziging ingesteld als "user preference", waardoor dit de standaardwaarde zal overriden. Dit betekent dat als Mozilla straks weer standaard SHA1 gaat blokkere, de mensen die deze instelling hebben gewijzigd nog steeds SHA1-certificaten blijven accepteren. Een slecht idee van Mozilla, dus.

Wil je dit niet teruggedraaid hebben?

Het stond zo en kan je dus zelf weer zo zetten onder je about:config.
security.pki.sha1_enforcement_level;2

Het was aardig geweest als er ook een uitleg was geweest bij andere mogelijke settings als "1" , "2" , 3?
07-01-2016, 23:20 door Anoniem
Het stond zo en kan je dus zelf weer zo zetten onder je about:config.
security.pki.sha1_enforcement_level;2

Het was aardig geweest als er ook een uitleg was geweest bij andere mogelijke settings als "1" , "2" , 3?

0 = SHA-1 toestaan
1 = SHA-1 verbieden
2 = SHA-1 toestaan tot aan 1 januari 2016

(bron: https://bugzilla.mozilla.org/show_bug.cgi?id=942515)

Goeroehoedjes
08-01-2016, 01:33 door maarten1001
Door Anoniem: Het was aardig geweest als er ook een uitleg was geweest bij andere mogelijke settings als "1" , "2" , 3?

Ik heb op Bugzilla deze uitleg van de levels gevonden:
Define an integer pref security.pki.sha1_enforcement_level, with values:
0 = allow SHA-1
1 = forbid SHA-1
2 = allow SHA-1 only if notBefore < 2016-01-01
Bron: https://bugzilla.mozilla.org/show_bug.cgi?id=942515#c32
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure