image

Amerikaanse overheid laat certificaten verlopen door shutdown

vrijdag 11 januari 2019, 14:02 door Redactie, 12 reacties

De Amerikaanse overheid heeft tls-certificaten die worden gebruikt voor het opzetten van een beveiligde verbinding tussen bezoekers en websites op tientallen sites laten verlopen, waardoor internetgebruikers bij het bezoeken van deze overheidssites een certificaatwaarschuwing te zien krijgen.

Volgens internetbedrijf Netcraft zijn meer dan 80 tls-certificaten waar .gov-websites gebruik van maken inmiddels verlopen. Hierdoor laten browsers een waarschuwing aan gebruikers zien en wordt afgeraden om de website te bezoeken.

Sommige van de Amerikaanse overheidssites staan op de HSTS preloadlijst van Chromium. HSTS staat voor HTTP Strict Transport Security. Het zorgt ervoor dat websites die via https te bezoeken zijn alleen via https worden bezocht, ook al wordt er door de gebruiker http in de adresbalk ingevoerd of op een http-link geklikt. Via de preloadlijst van Chromium wordt bijgehouden welke websites over https moeten worden bezocht.

Een aantal van de Amerikaanse overheidssites staan op deze lijst. Dit zorgt ervoor dat Chrome en Firefox gebruikers niet de optie laten zien om de certificaatwaarschuwing te negeren. Bij andere overheidssites die door een verlopen tls-certificaat een waarschuwing veroorzaken is dit wel mogelijk, maar hierdoor zijn gebruikers kwetsbaar voor man-in-the-middle-aanvallen, zo waarschuwt Paul Mutton van Netcraft.

De reden dat de certificaten niet zijn verlengd heeft met de shutdown van de Amerikaanse overheid te maken. Eind december ging een aanzienlijk deel van de Amerikaanse overheid op slot omdat het Congres en het Witte Huis het niet eens konden worden over de begroting voor het komende jaar. Wanneer de overheid weer open gaat is onbekend.

Reacties (12)
11-01-2019, 14:15 door Anoniem
Nieuw certificaat een halfjaar vantevoren bestellen, klaarzetten, en met een cron job activeren.

Voor grote, belangrijke websites zou dat eigenlijk standaard moeten zijn.
11-01-2019, 14:37 door Anoniem
Die shutdown geeft nog een vervelend staartje, gaat namelijk vele lagen diep. Maar goed ze hebben zelf voor Trump en de rest gekozen.

Als het lang genoeg duurt, bouwt Mexico dadelijk een muur tegen illegale immigranten uit de VS.
11-01-2019, 14:42 door Anoniem
Een rijk derde wereldland.
11-01-2019, 14:54 door Anoniem
Door Anoniem: Die shutdown geeft nog een vervelend staartje, gaat namelijk vele lagen diep. Maar goed ze hebben zelf voor Trump en de rest gekozen.

Als het lang genoeg duurt, bouwt Mexico dadelijk een muur tegen illegale immigranten uit de VS.

Was dat niet zijn bedoeling? "Er komt een muur bij de grens naar Mexico en Mexico gaat die betalen", o.i.d. was toch zijn standpunt?
11-01-2019, 15:05 door Anoniem
Door Anoniem: Nieuw certificaat een halfjaar vantevoren bestellen, klaarzetten, en met een cron job activeren.

Voor grote, belangrijke websites zou dat eigenlijk standaard moeten zijn.

Als je hem toch al eerder bestel, kun je hem ook meteen activeren.
11-01-2019, 15:59 door Anoniem
Door Anoniem:
Was dat niet zijn bedoeling? "Er komt een muur bij de grens naar Mexico en Mexico gaat die betalen", o.i.d. was toch zijn standpunt?

Dat ontkent ie nou weer. Het is nog een grotere leugenaar dan Rutte.
11-01-2019, 16:07 door [Account Verwijderd]
Wat een poppenkast daar. Ondertussen vliegen al die ambtenaren zo hun kooi uit omdat ze achter liggen met de woekerhypotheek.
11-01-2019, 17:22 door Anoniem
Door Anoniem:
Door Anoniem: Nieuw certificaat een halfjaar vantevoren bestellen, klaarzetten, en met een cron job activeren.

Voor grote, belangrijke websites zou dat eigenlijk standaard moeten zijn.

Als je hem toch al eerder bestel, kun je hem ook meteen activeren.
Dat is nou net niet de bedoeling. Er zit namelijk zowel een "geldig-vanaf" als een "geldig-tot" tijd-en-datumstempel op.
11-01-2019, 18:53 door Anoniem
Door Anoniem: Een rijk derde wereldland.

Als Trump en consorten maar lang genoeg fossiele brandstoffen weten te verstoken, dan komt er vanzelf een moment dat ze zelfs in de Rocky Mountains bananen kunnen laten groeien. Dan zijn ze een echte bananenrepubliek geworden.

Dat gaan wij hier in de polder helaas niet niet meer meemaken, want tegen die tijd staat het zeewater tegen onze lippen.
11-01-2019, 20:20 door Briolet
Door Anoniem:
Door Anoniem:
Door Anoniem: Nieuw certificaat een halfjaar vantevoren bestellen, klaarzetten, en met een cron job activeren.

Voor grote, belangrijke websites zou dat eigenlijk standaard moeten zijn.

Als je hem toch al eerder bestel, kun je hem ook meteen activeren.
Dat is nou net niet de bedoeling. Er zit namelijk zowel een "geldig-vanaf" als een "geldig-tot" tijd-en-datumstempel op.
Het is valse zuinigheid als je de aanvangsdatum van het nieuwe certificaat gelijk kiest aan de vervaldatum van het oude certificaat. Dat maakt je kwetsbaar voor problemen tijdens vervanging.

Je kunt het oude certificaat beter een paar maand voor de vervaldatum vervangen.
12-01-2019, 14:50 door Anoniem
Door Briolet:
Door Anoniem:
Door Anoniem:
Door Anoniem: Nieuw certificaat een halfjaar vantevoren bestellen, klaarzetten, en met een cron job activeren.

Voor grote, belangrijke websites zou dat eigenlijk standaard moeten zijn.

Als je hem toch al eerder bestel, kun je hem ook meteen activeren.
Dat is nou net niet de bedoeling. Er zit namelijk zowel een "geldig-vanaf" als een "geldig-tot" tijd-en-datumstempel op.
Het is valse zuinigheid als je de aanvangsdatum van het nieuwe certificaat gelijk kiest aan de vervaldatum van het oude certificaat. Dat maakt je kwetsbaar voor problemen tijdens vervanging.

Je kunt het oude certificaat beter een paar maand voor de vervaldatum vervangen.
Als je je certificaat een maand eerder wil laten ingaan dan de vervaldatum van het vorige certificaat, dan doe je dat. Maar je kan het nieuwe certificaat ruim eerder dan de ingangsdatum bestellen. Daar ging het over.
13-01-2019, 07:57 door Anoniem
Even terug naar de essentie van het probleem: er zijn een aantal .gov sites waarvan het ssl-certificaat verlopen is omdat er geen geld meer is. De voor de hand liggende oplossing: Let's Encrypt (gratis en automatisch vernieuwende certificaten). Een deel van de .gov sites heeft dat begrepen en die sites hebben nu ook geen probleem, zie https://crt.sh/?Identity=%25.gov&iCAID=16418
Een van de sites die aangehaald wordt is ows2.usdoj.gov. Omdat de site HSTS gebruikt kun je momenteel niet naar die site. Op de certificate transparancy logs kun je wel zien wat er aan de hand is met het certificaat: https://crt.sh/?q=ows2.usdoj.gov
Het certificaat zit bij GoDaddy. Maar als je gaat kijken bij crt.sh zie je dat er wel een geldig certificaat is, maar het is duidelijk niet geïnstalleerd op die server. Misschien wordt het loon van de persoon die dat normaal gezien moet doen niet meer uitbetaald.
Volgens mij is de oplossing in een situatie met https-only, hsts-actief en steeds kortere levensduur van de certificaten automatisatie. Dat kan met Let's Encrypt maar er zijn nog CA's die dit --al dan niet gratis-- kunnen. Vraag naar/Eis die mogelijkheden bij je leverancier.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.