image

Mozilla waarschuwt 35.000 websites met Symantec-certificaten

dinsdag 31 juli 2018, 10:09 door Redactie, 3 reacties

Van de 1 miljoen populairste websites op internet maken er nog altijd 35.000 gebruik van een Symantec-certificaat voor het aanbieden van een beveiligde verbinding aan bezoekers. In oktober zullen Firefox-gebruikers bij het bezoeken van deze websites een waarschuwing krijgen dat dit niet veilig is.

Mozilla zegt dan het vertrouwen op in deze Symantec-certificaten. Vanwege verschillende incidenten met door Symantec uitgegeven tls-certificaten hebben browserontwikkelaars besloten het vertrouwen in Symantec-certificaten op te zeggen. Dit vindt gefaseerd plaats, waarbij eerst alle Symantec-certificaten die voor 1 juli 2016 zijn uitgegeven niet meer worden vertrouwd. Dat is nu al het geval in Chrome, Firefox en Safari.

Met de lancering van Firefox 63 in oktober van dit jaar wordt het vertrouwen in alle certificaten van Symantec opgezegd, ongeacht uitgiftedatum. Gebruikers krijgen straks bij het bezoeken van deze websites een certificaatwaarschuwing te zien. Mozilla besloot te onderzoeken hoe groot de impact van deze maatregel is. Van de 1 miljoen populairste websites op internet bleek 3,5 procent nog een Symantec-certificaat te gebruiken.

Mozilla verwacht echter dat het aantal de komende tijd sterk zal dalen. Zo maakten in maart nog 10.000 websites gebruik van Symantec-certificaten die voor 1 juli 2016 waren uitgegeven. Met de lancering van Firefox 60 in mei, die deze certificaten niet meer vertrouwt en een waarschuwing laat zien, was het aantal websites naar 1500 gedaald. In aanloop naar Firefox 63 wordt een zelfde soort scenario verwacht.

Gebruikers die een certificaatwaarschuwing krijgen hebben de mogelijkheid om die te negeren, maar dit wordt ten strengste afgeraden, aangezien het kan betekenen dat iemand bijvoorbeeld een man-in-the-middle-aanval uitvoert. Mozilla adviseert webmasters met Symantec-certificaten om die direct te vervangen zodat gebruikers geen hinder zullen ondervinden.

Reacties (3)
31-07-2018, 11:07 door Anoniem
poltiek en techniek gaan niet samen. certificaten worden over tijd onveiliger. niet dus. symantec certs zijn gewoon onceilig NU.
31-07-2018, 19:59 door Anoniem
Door Anoniem: poltiek en techniek gaan niet samen.
(bedrijfs)beleid is ook een soort van politiek. iemand moet de policies schrijven waarmee IT zich kan verdedigen (beleidsmatig t.o.v. medewerkers, misbruik van het IT systeem, en externe actoren (hackers/CEO fraude/etc).

certificaten worden over tijd onveiliger. niet dus. symantec certs zijn gewoon onceilig NU.
Er is geen reden om het meteen te slopen (zoals bij DigiNotar). CA's zitten vol met beleid, dat is een ingewikkeld process.
01-08-2018, 21:59 door Anoniem
Hier zien we weer de machtige hand van Google (Alphabet) en het aan Google horige Mozilla in.
Symantec zag de bui al hangen en verkocht op tijd de certificeringspoot. Comodo is nog in de race.

We gaan nu naar een wereld van https-everywhere met gratis Let's Encrypt certs, helaas nog vaak als root op de server.

Het wordt er op het eerste gezicht veiliger op en het is handiger tegen ongewenste advertentie-concurrentie voor Google. Alles verloopt over en daarna achter een veilige connectie naar de niet-publieke cloud. Ergo het grote publiek heeft er al geen zicht meer op, wat de algoritmes met hun private data "uitvreten"en ten behoeve van wat?

Alles via akamai, Cloudflare etc. en even daarna gaan onze data met wat onderbreking via een filter naar de AMX switch in Mokum of naar die van de provider, bij voorbeeld in Amstelveen, op de sara.akamai etc. server. Trace geeft o.a. voor security.nl -> ams-ix.sara.xs4all.net -"delay packet filtered". Wie filtert er hier en met wie worden de filtergegevens allemaal gedeeld? Hallo Brave New World!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.