image

Google voorziet .dev- en .foo-domeinen van HSTS-beveiliging

donderdag 28 september 2017, 13:47 door Redactie, 3 reacties

Google heeft de topleveldomeinen .dev en .foo van HSTS-beveiliging voorzien, waardoor alle domeinnamen die onder deze topleveldomeinen worden geregistreerd automatisch van deze beveiligingsmaatregel gebruik maken. HTTP Strict Transport Security (HSTS) zorgt ervoor dat websites die via https te bezoeken zijn alleen via https worden bezocht, ook al wordt er door de gebruiker http in de adresbalk ingevoerd.

De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in https. Zodoende wordt er geen informatie over het onbeveiligde http verstuurd, dat bijvoorbeeld door een aanvaller kan worden onderschept of gemanipuleerd. Alle grote browsers beschikken over een HSTS-preloadlijst. Deze lijst bevat hostnames waarvoor de browser automatisch een https-verbinding afdwingt. Zo wordt bijvoorbeeld gmail.com altijd via https geladen.

De HSTS-preloadlijst kan aparte domeinnamen of subdomeinen bevatten, alsmede topleveldomeinen, die via de HSTS-website kunnen worden toegevoegd. Google beheert 45 topleveldomeinen en besloot in 2015 voor het eerst een topleveldomein aan de HSTS-lijst toe te voegen. Het ging om het .google-topleveldomein. Het voordeel hiervan is dat voor alle domeinen en subdomeinen eindigend op .google alle browsers automatisch https zullen gebruiken.

Het kan volgens Google echter maanden duren voordat domeinen aan de HSTS-lijst worden toegevoegd. Het toevoegen van een topleveldomein aan de lijst biedt dan ook een effectievere beveiliging, aangezien het alle domeinen onder het topleveldomein beschermt, zonder dat al die domeinen apart moeten worden toegevoegd. Google heeft nu besloten om twee eigen topleveldomeinen die het beheert, .dev en .foo, op de HSTS-lijst te zetten en hoopt deze topleveldomeinen binnenkort voor registratie aan te bieden, zodat gebruikers en organisaties een domeinnaam kunnen registreren die automatisch via HSTS wordt beschermd.

Reacties (3)
28-09-2017, 23:18 door Anoniem
Ze willen het internet HTTPS maken zodat voornamelijk alleen nog maar Amerikaanse bedrijven dit kunnen 'decrypten'?
29-09-2017, 09:56 door Whacko
Door Anoniem: Ze willen het internet HTTPS maken zodat voornamelijk alleen nog maar Amerikaanse bedrijven dit kunnen 'decrypten'?
Waar slaat dat nou weer op?? HTTPS zou er juist voor zorgen dat niemand meer kan decrypten. Tenzij je certificaten gaat manipuleren.
30-09-2017, 00:30 door Anoniem
Door Whacko:
Door Anoniem: Ze willen het internet HTTPS maken zodat voornamelijk alleen nog maar Amerikaanse bedrijven dit kunnen 'decrypten'?
Waar slaat dat nou weer op?? HTTPS zou er juist voor zorgen dat niemand meer kan decrypten. Tenzij je certificaten gaat manipuleren.

Wel je subject kennen he, waarom denk je dat google in chrome pinning heeft op hun eigen certificaten?

https://www.security.nl/posting/474174/Symantec+gaat+Blue+Coat+voor+4%2C65+miljard+dollar+overnemen

https://www.security.nl/posting/371970/Google+slaat+alarm+na+illegaal+certificaat+voor+Google-domeinen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.