image

Amerikaanse overheidssites onbereikbaar door verlopen certificaten

woensdag 16 januari 2019, 16:24 door Redactie, 8 reacties

Tal van Amerikaanse overheidssites zijn inmiddels onbereikbaar voor het publiek omdat meer dan 130 tls-certificaten vanwege de shutdown zijn verlopen. Het gaat om websites van verschillende ministeries, toezichthouders zoals de Federal Aviation Authority en het Witte Huis zelf.

De tls-certificaten worden gebruikt voor het identificeren van de websites en het opzetten van een beveiligde verbinding naar bezoekers toe. Doordat de certificaten zijn verlopen krijgen bezoekers een certificaatwaarschuwing in hun browser te zien. Sommige van de domeinen staan op de HSTS-preloadlijst van Chromium.

HSTS staat voor HTTP Strict Transport Security. Het zorgt ervoor dat websites die via https te bezoeken zijn alleen via https worden bezocht, ook al wordt er door de gebruiker http in de adresbalk ingevoerd of op een http-link geklikt. Via de preloadlijst van Chromium wordt bijgehouden welke websites over https moeten worden bezocht.

In het geval van de Amerikaanse overheidssites die op HSTS-preloadlijst staan en waarvan het certificaat is verlopen krijgen gebruikers van hun browser niet de optie om de certificaatwaarschuwing te negeren. Daardoor zijn de websites niet meer te bezoeken totdat de certificaten worden verlengd, zo laat internetbedrijf Netcraft weten.

De reden dat de certificaten niet zijn verlengd heeft met de shutdown van de Amerikaanse overheid te maken. Eind december ging een aanzienlijk deel van de Amerikaanse overheid op slot omdat het Congres en het Witte Huis het niet eens konden worden over de begroting voor het komende jaar. Wanneer de overheid weer open gaat is onbekend.

Image

Reacties (8)
16-01-2019, 16:38 door Anoniem
Your connection is not secure != niet bereikbaar :)
16-01-2019, 16:43 door Anoniem
Door Anoniem: Your connection is not secure != niet bereikbaar :)

Your connection is not secure === niet bereikbaar indien HTST is enabled! Zonder SSL geen toegang hoe hard je ook probeert.

TheYOSH
16-01-2019, 16:50 door Anoniem
Door Anoniem: Your connection is not secure != niet bereikbaar :)

Niet helemaal waar. In sommige gevallen kan je geen uitzondering maken en dan kom je er daadwerkelijk niet bij.
16-01-2019, 18:05 door Briolet - Bijgewerkt: 16-01-2019, 18:13
Door Anoniem:
Door Anoniem: Your connection is not secure != niet bereikbaar :)

Niet helemaal waar. In sommige gevallen kan je geen uitzondering maken en dan kom je er daadwerkelijk niet bij.

Klopt. Dat staat ook in de tekst zelf. Als de site op de HTST preload lijst staat, mag je blijkbaar geen uitzondering maken voor verlopen certificaten.

Ik heb het even getest met het domein uit bovenstaand screenshot. http://pages.mail.whitehouse.gov. Met Safari als browser blokkeert dit, zonder optie van een uitzondering. (Die er doorgaans wel is voor een verlopen certificaat)

Edit. Firefox op de mac geeft ook expliciet een melding dat er geen uitzondering gemaakt kan worden omdat HTST gebruikt wordt. (Bovenstaand screenshot)

En chrome schrijft:
Je kunt pages.mail.whitehouse.gov momenteel niet bezoeken, omdat de website HSTS gebruikt. Netwerkfouten en aanvallen zijn doorgaans tijdelijk, dus deze pagina werkt later waarschijnlijk correct.

Waarschijnlijk kun je er dan alleen nog bij als je ergens een verouderde browser weet op te duikelen. (-:
16-01-2019, 18:12 door Briolet - Bijgewerkt: 16-01-2019, 18:13
..
16-01-2019, 19:32 door Anoniem
Voor Chrome bij versie 71 atleast typ je simpelweg op de site met de melding in thisisunsafe
Ze veranderen om de zoveel releases het woord.

Hij gooit de request na het intypen van de keyword doodleuk dan door. Hartstikke onveilig maar in dit soort gevallen waarbij je wel moet de enige makkelijke uitkomst tenzij je de certificaten wil vervalsen of oudere browsers wilt gebruiken.
16-01-2019, 20:15 door Briolet
Door Anoniem: Voor Chrome bij versie 71 atleast typ je simpelweg op de site met de melding in thisisunsafe…

Inderdaad, dat werkt ook bij de mac versie 71. Behalve dat je bij deze site een "403 - Forbidden: Access is denied." melding krijgt. Maar dat zal de melding zijn die je vroeger ook kreeg als je er zo heen ging.

Ik heb nog wat verder zitten te puzzelen. Ik kan met het terminal commando "openssl s_client -connect pages.mail.whitehouse.gov:443" het certificaat ophalen en dan aan mijn certificaten toevoegen. (In mijn mac sleutelhanger) Daar kan ik de vertrouwensinstelling veranderen om het certificaat toch te accepteren.
Als ik dan met Safari naar die site ga, krijg ik wel een verbinding.

Dus de opmerking
In sommige gevallen kan je geen uitzondering maken en dan kom je er daadwerkelijk niet bij.
is toch niet helemaal waar. Met heel heel gekunstel is er toch een uitzondering te maken.
17-01-2019, 09:22 door ph-cofi
Het wachten is op security-risks die onnodig lang open blijven staan door de shutdown. USA in self-distruct-mode.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.