Ophef over intermediate certificaat voor Blue Coat
Op internet is ophef ontstaan over de beslissing van Symantec om een "intermediate" certificaat aan beveiligingsbedrijf Blue Coat toe te kennen, waarmee het voor willekeurige domeinen ssl-certificaten kan uitgeven. Blue Coat ontwikkelt oplossingen waarmee organisaties netwerkverkeer kunnen inspecteren.
Ook worden de oplossingen van het bedrijf gebruikt voor het onderscheppen van internetverkeer. Een aantal jaren geleden kwam Blue Coat nog in het nieuws omdat internetfilters van het bedrijf door de regimes in Myanmar en Syrië werden gebruikt. Internetgebruikers op onder andere Hacker News en Reddit maken zich dan ook zorgen nu Blue Coat een intermediate certificaatautoriteit is geworden. Met een intermediate certificaat kan Blue Coat voor willekeurige domeinen ssl-certificaten uitgeven. Omdat het intermediate certificaat van Symantec afkomstig is, en Symantec een root-certificaatautoriteit is, zullen deze uitgegeven ssl-certificaten door alle browsers worden vertrouwd. Wat Blue Coat als intermediate certificaatautoriteit van plan is, is nog onbekend.
Sommige lezers op Hacker News stellen dat uitgegeven certificaten mogelijk voor het cloudplatform worden gebruikt dat het bedrijf aanbiedt. Veel lezers maken zich echter zorgen dat de certificaten straks in de interceptie-oplossingen van Blue Coat belanden, waardoor versleuteld verkeer van gebruikers gelezen kan worden, zonder dat die hier melding van krijgen. De door Blue Coat uitgegeven certificaten zullen door de browser namelijk als volledig legitiem worden beschouwd. Andere lezers stellen weer dat eventueel misbruik van de nu verworven positie als ssl-verstrekker grote gevolgen voor Blue Coat en Symantec zou hebben. Beide bedrijven hebben nog niet op de onrust gereageerd.
Filippo Valsorda van het CloudFlare Security Team heeft inmiddels instructies online gezet hoe Blue Coat als onbetrouwbare intermediate certificaatautoriteit in Mac OS X en Windows kan worden aangemerkt. In dit geval krijgen gebruikers wel een waarschuwing als iemand met een Blue Coat-apparaat tussen hun verbinding en het internet zit en dit via een uitgegeven ssl-certificaat probeert te onderscheppen.
In de lijst met vertrouwde partijen in de gemiddelde browser staan echter nog wel meer partijen waarvan ik nauwlijks kan vaststellen of ze wel of niet te vertrouwen zijn, maar waarvan mijn onderbuikgevoel zegt dat ik ze niet zou moeten vertrouwen, zoals Chungwha Telecom uit China, Turktrust uit Turkije, de Nederlandse Staat, en een hele partij Zuid-Oost Aziatische en Zuid-Amerikaanse telecom- en postbedrijven. Het is goed dat er aandacht wordt gevraagd voor dit specifieke geval, maar het staat niet op zichzelf en is een tamelijk fundamenteel probleem in de TTP methode.
Als je HTTPS verkeer wilt inspecteren moet je als client optreden zodat je de inhound unencrypted kunt bekijken, door dan een certificaat te genereren en het weer te encrypten naar de eindgebruiker zal die het nog steeds als HTTPS verkeer zien.
Leuk om je bankzaken via een bluecoat device te doen..
Meten met twee maten wat Mozilla en Google doen.
Het certificaat in deze procedure (directe link https://crt.sh/?d=19538258 ) is al expired. Heeft "untrusten" dan wel zin in deze zaak?
Bluecoat is toch juist een interceptie oplossing? En ik snap ook wel waarom bepaalde landen graag zien dat de Bluecoat alle certificaten uit kan geven. Ben je Diginotar al vergeten? Die breach ging er echt niet om, te zorgen dat de Nederlandse overheid eens wat nieuwe certificaatjes installeerde (al was dat een van de gevolgen, best een nuttige exercitie).
Maar wel om bv. een wildcard voor o.a. google te maken.
Door de actie van Symantece is geen inbraak meer nodig.
Sterker nog, als ze dat niet doet kan ze binnen no-time haar gehele CA (in praktisch en pragmatisch aspect) afschrijven... Iets wat me in hun positie zwaar ongewenst lijkt.
Daarbovenop vind ik het verwerpelijk dat iemand die zich in zo'n high-profile positie bevindt alsnog zo fout handelt. Er zijn legio (onweerlegbare) argumentaties mogelijk dat deze gehele handeling nooit plaats HAD MOGEN VINDEN. en dat laatste vind ik in het geval van een bedrijf als Symantec het allerzwaarst wegen.
Het certificaat in deze procedure (directe link https://crt.sh/?d=19538258 ) is al expired. Heeft "untrusten" dan wel zin in deze zaak?
Hoe kom je daarbij? Het certificaat is geldig tot 24-09-2025.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.