image

Google waarschuwt websites met Symantec-certificaten

dinsdag 12 september 2017, 09:40 door Redactie, 6 reacties

Google heeft websites die gebruik maken van certificaten die door Symantec zijn uitgegeven opnieuw gewaarschuwd omdat deze certificaten straks niet meer door Chrome zullen worden vertrouwd. De plannen van Google om dit te doen waren eerder al bekend geworden, maar de internetgigant heeft die nu breder uiteengezet.

Begin dit jaar ontdekte Google dat certificaatautoriteiten die onder Symantec vallen, waaronder Thawte, VeriSign, Equifax, GeoTrust en RapidSSL, meerdere certificaten hadden uitgegeven die niet aan de richtlijnen van het CA/Browser Forum voldeden. Dit is een consortium van certificaatautoriteiten en softwareontwikkelaars die regels voor certificaten opstellen. Certificaten, die onder andere voor versleutelde verbindingen tussen websites en bezoekers worden gebruikt, spelen een belangrijke rol op internet. Het overtreden van deze regels wordt Symantec dan ook zwaar aangerekend.

Verder onderzoek wees uit dat Symantec ook nog eens verschillende organisaties de mogelijkheid had gegeven om certificaten uit te geven zonder gepast of noodzakelijk toezicht en wist van beveiligingstekortkomingen bij deze organisaties. In 2015 werden ook al problemen met door Symantec uitgegeven certificaten ontdekt. Volgens Google is er dan ook sprake van een patroon waardoor al uitgegeven en nog uit te geven certificaten van het beveiligingsbedrijf niet meer te vertrouwen zijn.

Met de lancering van Chrome 66 op 17 april volgend jaar zal Chrome Symantec-certificaten die voor 1 juni 2016 zijn uitgeven niet meer vertrouwen. Websites die van dergelijke certificaten gebruikmaken moeten een ander certificaat regelen, anders zal de website bij Chrome-gebruikers voor een certificaatwaarschuwing zorgen. Vanaf 1 december 2017 zal Symantec het uitgeven en beheer van certificaten aan DigiCert overdragen. Certificaten die vanaf dat moment van de oude Symantec-infrastructuur afkomstig zijn worden dan niet meer vertrouwd. Het gaat dan om certificaten die aan de Symantec-root zijn gekoppeld. In oktober 2018 zal Chrome 70 verschijnen die het vertrouwen in certificaten afkomstig van de oude Symantec-infrastructuur volledig opzegt.

Reacties (6)
12-09-2017, 11:58 door Anoniem
Tja is het wel aan google om dit te forceren?? Zou een vereniging van CA dat niet moeten doen of zo? Manipuleren ze ook zoekresultaten, zodat het hen beter past?

Wanneer gaan we dat google nu eens opsplitsen?
12-09-2017, 12:32 door Anoniem
Certificaten zou om vertrouwen moeten gaan maar het gaat weer om geld.

Met deze actie beschermt Google zich en deels Symantec tegen financieel juridische acties van Symantec, hun subbedrijven, certificaateigenaren en hun klanten omdat de Symantec certificaten plotseling waardeloos zijn geworden.

De nieuwe infrastructuur maakt de oude infrastructuur niet opeens onbetrouwbaar, die is al onbetrouwbaar genoeg om zoals aangekondigd in de ban te doen. Door de onbetrouwbare infrastructuur pas na maanden als onbetrouwbaar te willen behandelen kan Google aantonen dat Symantec en de klanten tijd genoeg hadden om nieuwe certificaten te nemen.

Als Google de onbetrouwbare certificaten van Symantec direct had geblokkeerd had het wel om vertrouwen gegaan maar zouden enkele miljoenen certificaatklanten direct dure certificaten waardeloos zien worden, wat tot grote claims bij Symantec en Google zou leiden en zou er een grote twijfels kunnen ontstaan over de betrouwbaarheid van certificaten in het algemeen.

Browsers, CA bedrijven, accountants, certificaatkopers hebben allemaal groot belang bij de financiele waarde van het CA systeem terwijl meer dan 90% van de gebruikers niet weet waarom ze die slotjes in hun browser vertrouwen. Browsers verliezen waarde als gebruikers websites niet meer kunnen bezoeken, certificaatkopers verliezen geld en klanten als browsers aangeven dat de site van een koper onbetrouwbaar is, CA bedrijven en accountants verliezen waarde als browsers ze niet meer accepteren, certificaatkopers hun geld terug eisen en nieuwe klanten weg blijven. Met name de CA bedrijven en accountants kunnen zich vanwege hun financiele positie veel permiteren ten opzichte van de anderen. Er is in het vertrouwen geen evenwicht en dus is er slechts een waan van vertrouwen. Een die een paar miljard waard is en niemand wil daarin financieel verlies leiden als een CA of accountant zijn werk niet doet.
12-09-2017, 13:42 door Anoniem
Tja is het wel aan google om dit te forceren?? Zou een vereniging van CA dat niet moeten doen of zo? Manipuleren ze ook zoekresultaten, zodat het hen beter past?

Het staat de certificaat authoriteiten toch vrij om dit zelf te doen ? Indien certificaten niet te vertrouwen zijn, dan moet je ze als zodanig ook beschouwen. Anders hebben certificaten geen enkel nut meer. Laat Symantec zelf verantwoording nemen zou ik zeggen.

Verder onderzoek wees uit dat Symantec ook nog eens verschillende organisaties de mogelijkheid had gegeven om certificaten uit te geven zonder gepast of noodzakelijk toezicht en wist van beveiligingstekortkomingen bij deze organisaties.

Reden te meer om certificaten van Symantec niet meer te vertrouwen. Symantec moet dit op orde brengen, of de status van CA verliezen.

Wanneer gaan we dat google nu eens opsplitsen?

Wanneer gaat Symantec verantwoordelijkheid nemen ?
12-09-2017, 21:44 door Anoniem
En dan nog iets, lieve mensen, wat was of is de rol van de gratis certificering in deze?

Dat zou ik wel eens van iemand willen horen, die weet van de hoed en de rand.

Volgens mij zit de internet infrastructuur zich geconfronteerd met de grootste vertrouwenscrisis ooit
en heus niet alleen voor betaalde en gratis certificaten,
maar nog veel meer, nu nu pas in volle omvang blijkt,
hoe door en door gecompromitteerd het hele systeem "gehouden wordt".

luntrus
14-09-2017, 09:22 door Anoniem
Door Anoniem: En dan nog iets, lieve mensen, wat was of is de rol van de gratis certificering in deze?

Dat zou ik wel eens van iemand willen horen, die weet van de hoed en de rand.

Volgens mij zit de internet infrastructuur zich geconfronteerd met de grootste vertrouwenscrisis ooit
en heus niet alleen voor betaalde en gratis certificaten,
maar nog veel meer, nu nu pas in volle omvang blijkt,
hoe door en door gecompromitteerd het hele systeem "gehouden wordt".

luntrus

Het gratis certificering systeem is bedacht zodat iedereen die een website heeft identificeerbaar is. En als 99% procent van het internet geencrypt is, men je dingen kunt forceren te doen onder de dwang dat je anders gecertficate verlening krijgt.

Denk aan dus meer informatie verstrekken, letsencrypt wil nu al je email adres delen met eff voor commerciele doeleinden.
14-09-2017, 09:28 door Anoniem
Het staat de certificaat authoriteiten toch vrij om dit zelf te doen ? Indien certificaten niet te vertrouwen zijn, dan moet je ze als zodanig ook beschouwen. Anders hebben certificaten geen enkel nut meer. Laat Symantec zelf verantwoording nemen zou ik zeggen.

Opzich is dit een mooie en correcte denkwijze, maar ik denk dat je te goed gelovig bent, of niet snapt hoe het werkt.
Symantec gaat echt geen miljoenen(?) omzet aan de kant zetten, omdat ze zelf vinden dat ze er een potje van maken.


Wanneer gaat Symantec verantwoordelijkheid nemen ?
Je weet wel slager eigen vlees keuren? Vertrouw je echt op dat systeem?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.