image

Google vermindert aantal https-waarschuwingen in Chrome

vrijdag 17 november 2017, 12:08 door Redactie, 10 reacties

Google heeft dit jaar het aantal https-waarschuwingen in Chrome verminderd, waardoor gebruikers minder vaak ten onrechte worden gewaarschuwd. Dat laat de internetgigant weten in een terugblik op de veiligheidsverbeteringen die het afgelopen jaar in de browser werden doorgevoerd.

Chrome waarschuwt gebruikers als er iets mis is met het certificaat van een website. Https-waarschuwingen zijn zeer ernstig, omdat ze bijvoorbeeld op een man-in-the-middle-aanval kunnen duiden. In de praktijk blijkt echter dat https-waarschuwingen allerlei andere oorzaken hebben. Volgens Google krijgen gebruikers hierdoor met honderden miljoenen onjuiste waarschuwingen te maken. Dit kan het vertrouwen in browserwaarschuwingen ondermijnen en zelfs de uitrol van https hinderen.

De internetgigant besloot samen met onderzoekers van verschillende universiteiten 300 miljoen foutmeldingen te onderzoeken die Chrome-gebruikers tijdens normaal gebruik kregen te zien. Aan de hand van het handmatig doorlopen van meer dan 2.000 foutmeldingen werden verschillende regels ontwikkeld om de voornaamste oorzaken van https-waarschuwingen vast te stellen. Met deze regels wisten de onderzoekers de oorzaak van tweederde van de foutmeldingen te achterhalen.

Meer dan de helft van de fouten werd veroorzaakt aan de kant van de eindgebruiker of betroffen netwerkproblemen, in plaats van verkeerd ingestelde servers of certificaten. Het kan dan bijvoorbeeld gaan om anti-virussoftware die versleutelde verbindingen probeert te onderscheppen. De resultaten heeft Google binnen Chrome toegepast. Daardoor kon 25 procent van alle https-waarschuwingen die Chrome-gebruikers te zien krijgen worden verwijderd of verbeterd, aldus Google.

Image

Reacties (10)
17-11-2017, 13:19 door Anoniem
Dus de browser heeft nu informatie over de echte tijd vanaf het Internet op gehaald, net zoiets als NTP ? Ergens een positieve ontwikkeling dat maakt weer andere problemen duidelijk.
17-11-2017, 14:28 door [Account Verwijderd]
[Verwijderd]
17-11-2017, 15:10 door Anoniem
Door Neb Poorten:
Door Anoniem: Dus de browser heeft nu informatie over de echte tijd vanaf het Internet op gehaald, net zoiets als NTP ? Ergens een positieve ontwikkeling dat maakt weer andere problemen duidelijk.

Leg uit want ik snap links van de koppeling die je maakt met de 'echte' tijd.
de tijd die je eigen computer heeft word gebruikt voor de geldigheid van een ssl certificaat.
om te kunnen detecteren dat je computer achterloopt moet chrome dus zelf opvragen wat de tijd is
17-11-2017, 15:55 door Briolet
@Neb Poorten: zie het rechter screenschot. Als de tijd ven je PC niet binnen de geldigheidstermijn van het certificaat valt, gaat chrome nu blijkbaar controleren of dit alleen aan de systeemklok ligt.

Ik heb het zelf onlangs gehad met een HikVision camera. Als je daar een nieuw certificaat aanmaakte, hield hij geen rekening met de zomertijd en was dat certificaat pas over één uur geldig. Hier zou Chrome wel terecht over vallen.
17-11-2017, 20:32 door Anoniem
Door Briolet:
Ik heb het zelf onlangs gehad met een HikVision camera. Als je daar een nieuw certificaat aanmaakte, hield hij geen rekening met de zomertijd en was dat certificaat pas over één uur geldig. Hier zou Chrome wel terecht over vallen.

Nou, terecht,
Dan zou google ook advertentietijd moeten verrekenen.

Een systeem dat een dag achter loopt kan nog voordelen hebben, als er ergens een certificaat verlopen is is het bij jou nog geldig en meestal worden gemiste cert verlengingen wel verholpen binnen een dag.

Wie weet mag je van netfliks wel weer ineens iets kijken omdat ze denken dat je in de juiste tijdszone zit.

Maar de tijd voorzetten heeft in ieder geval het voordeel dat de kans dat je ergens op tijd komt vergroot wordt.
zoziejemaarweer
17-11-2017, 20:33 door Anoniem
Wat zegt google bij iemand die zijn tijd ver vooruit is?
17-11-2017, 21:58 door Anoniem
We moeten wel altijd onderscheid (blijven) maken tussen twee verschillende vormen van https waarschuwingen,
namelijk waarschuwingen die betrekking hebben op de (on)veiligheid van de verbinding
en waarschuwingen aangaande de (on)veiligheid van de configuratie en certificering van een https website.

Een https://observatory.mozilla.org/ scan geeft al een heleboel inzicht, alsmede een https://mxtoolbox.com
of een https://www.ssllabs.com/ssltest/ en ook hier https://foundeo.com/products/iis-weak-ssl-ciphers/test.cfm
of https://gcm.tlsfun.de/check.php?host= brengt ons verder.

Er is meer en ik zou ook zeker kijken naar DNS issues.

Ook een extensie als Recx Security Analyzer en Calomel in de browser geven uitsluitsel,
met name over de toepassing van allerlei security headers en best policies.

Een groen slotje zegt slecht iets, niet of het allemaal wel goed en veilig is ingeklopt.

Goede initiatieven van Google met Google Safebrowsing en de https everywhere en certificate transparancy,
maar het is nog niet het hele verhaal en geeft niet het hele plaatje juist weer.

Heel veel heb ik hier op security.nl opgestoken van de diverse postings over dit onderwerp door Bitwiper.

Bitwiper nog heel veel dank voor alle educatieve en leerzame bijdragen van jouw kant.
Ik kijk daardoor dan weer iets oplettender naar diverse certificeringszaken.

luntrus
18-11-2017, 09:51 door Bitwiper
Graag gedaan Luntrus! Bijdragen is voor mij ook zeer leerzaam, want vaak zoek ik e.e.a. nog na voor ik iets schrijf, en waardeer vervolgens aavullingen en correcties, maar ook aanvullende vragen, enorm. De dankbaarheid is dus wederzijds!
18-11-2017, 11:38 door [Account Verwijderd] - Bijgewerkt: 18-11-2017, 11:38
[Verwijderd]
19-11-2017, 23:48 door Anoniem
@Neb Poorten,

Dit inbrengen van cert geldigheids tijdchecks valt heel goed te verklaren,
omdat het helpt bij het de-anonimiseren van gecompromitteerde tor circuits bij voorbeeld.

Verder kan al een 96% score hierbij verkregen worden d.m.v. het combineren van opzettelijke malrelays,
malrouting en vooral link errors tussen nodes.

Node correlatie via RAPTOR aanvallen maakt het identificeren van tor gebruikers
naarmate de tijd dat de BGP hijack duurt steeds gemakkelijker voorspelbaar.

Let erop dat een heleboel tor relays worden bedreigd of zijn gecompromitteerd.
Beperking van relays werkt aan een kant goed als protectie, maar verzwakt ze anderszins.

BGP is een bedreiging voor zowel tor, maar nu ook voor bitcoin chains.

We leven in interessante security tijden.
Is Google eigenlijk wel onze vriend?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.