Omstreden securitybedrijf wil eigen rootcertificaat in Firefox
Een omstreden securitybedrijf uit de Verenigde Arabische Emiraten wil een eigen rootcertificaat in Firefox, tot grote zorgen van de Amerikaanse burgerrechtenbeweging EFF. Het rootcertificaatprogramma van Mozilla bepaalt welke tls-certificaten binnen Firefox worden vertrouwd.
Het bedrijf DarkMatter wil nu ook aan dit programma worden toegevoegd. "DarkMatter heeft een zakelijk belang in het omzeilen van encryptie en zou al het onderschepte https-verkeer kunnen ontsleutelen. Https moet je privécommunicatie tegen spionerende overheden beschermen, en als overheden willen spioneren, schakelen ze DarkMatter in om hun vuile werk te doen", aldus de EFF.
De organisatie waarschuwt dat als het bedrijf wordt toegevoegd, het tls-certificaten voor allerlei domeinen kan uitgeven die vervolgens voor man-in-the-middle-aanvallen zijn te gebruiken. DarkMatter werd onlangs genoemd in een bericht van persbureau Reuters over cybersurveillance in de Verenigde Arabische Emiraten. Eerder besteedde The Intercept al aandacht aan het bedrijf en de massasurveillance waar het zich mee zou bezighouden.
Een jaar geleden diende DarkMatter een verzoek in om aan het rootcertificaatprogramma van Mozilla te worden toegevoegd. Onlangs is ook de publieke discussie over het toevoegen van het bedrijf begonnen. De EFF stelt dat het proces om te worden toegevoegd vooral technisch en bureaucratisch is en DarkMatter hier waarschijnlijk aan zal voldoen. "Maar de standaarden houden geen rekening met de geschiedenis van een organisatie om encryptie te kraken of de belangenverstrengeling", zo waarschuwt de Amerikaanse burgerrechtenbeweging.
DarkMatter beschikt op dit moment al over een "intermediate" certificaat van een ander bedrijf genaamd QuoVadis, dat eigendom van DigiCert is. Met een intermediate certificaat kan DarkMatter voor willekeurige domeinen tls-certificaten uitgeven. Het toezicht vindt echter plaats door DigiCert, waardoor de schade beperkt blijft, aldus de EFF. Toch vraagt de organisatie aan Mozilla om het intermediate certificaat van DarkMatter in te trekken.
De EFF is verder bang dat als DarkMatter wordt toegevoegd, andere omstreden securitybedrijven zullen volgen. Op Mozillas security policy mailinglist ontkent DarkMatter de aantijgingen en stelt dat het zich alleen richt op defensieve cybersecurity, het beveiligen van communicatie en "digitale transformatie". Onlangs publiceerde Mozilla nog een blogposting waarin het stelt dat het rootcertificaatprogramma wordt beheerd op een manier die de waarden van de browserontwikkelaar weerspiegelt.
Update
De website Ghacks heeft een artikel gepubliceerd waarin wordt uitgelegd hoe de intermediate certificaten van DarkMatter uit Firefox zijn te verwijderen.
De organisatie waarschuwt dat als het bedrijf wordt toegevoegd, het tls-certificaten voor allerlei domeinen kan uitgeven
Ja, wanneer gaan ze DAT nou eens een keer fixen???
Zodra DarkMatter certificaten gaat uitgeven voor gmail of outlook, is het snel afgelopen met ze.
Nee, daar wordt uitgelegd hoe je Root certificaten verwijderd. ! Intermediates kun je niet verwijderen, want die staan er niet in. Je kunt wel een intermediate blokkeren door hem er zelf in te zetten en dan als 'niet vertrouwd' te markeren.
Belangrijker: QuoVadis is een leverancier van Nederlandse PKI-overheid certificaten (bijvoorbeeld te vinden op https://www.rijksoverheid.nl/). Het heeft dus mogelijk flinke consequenties als gebruikers QuoVadis rootcertificaten gaan blokkeren.
Last but not least: is QuoVadis nog betrouwbaar genoeg voor PKI overheid certs nu zij -naar verluidt- shady CSP's in het midden-oosten faciliteert met MitM certificaten (en je maar moet hopen dat die shady CSP's geen onrechtmatige PKI-overheid certs gaan uitgeven)?
I.c.m. mass-surveillance maakten zij -samen met Nokia- de Chinese Firewall, en Cuba gebruikt hetzelfde pakket maar dan strenger geconfiged.
Dus ik vermoed zomaar rook en dus vuur.
Bij MacOS kun je beter via de Sleutelhanger alle vertrouwen in de QuoVadis-certificaten intrekken die in de lijst staan.
Hierdoor wordt een waarschuwing afgegeven op alle geinstalleerde browsers die je op het systeem hebt. Je kunt dus standaard geen verbinding meer maken met servers waar dit certificaat wordt gebruikt.
Ehm waarvoor is root certificaat bedoeld ? Certificate authorities moeten betrouwbaar zijn. Dat ze certificaten voor domeinen kunnen uitgeven is logisch. Dat is hun taak.
Het is toch veel beter het vertrouwen (trust) te beperken ipv CA’s helemaal te verwijderen?
Anders ben je naar de eerstvolgende update, alle veranderingen weer kwijt.
Windows gebruikers moeten met in artikel omschreven handelswijze rekening houden met de security.enterprise_roots.enabled pref.
En hoe zit het eigenlijk met CA staat der Nederlanden in Thunderbird, sinds de bevoegdheid om te mogen hacken van kracht is?
/lightwgt/
Nu komt er dus een aanvraag van een 'shady' toko en nu weten ze niet meer hoe ze er mee om moeten gaan.. en uitrekken gaat niet lang meer kunnen.
Ehm waarvoor is root certificaat bedoeld ? Certificate authorities moeten betrouwbaar zijn. Dat ze certificaten voor domeinen kunnen uitgeven is logisch. Dat is hun taak.
Ik vind het niet logisch dat iedere certificaat autoriteit certificaten kan uiteven voor ieder willekeurig domein.
Daar zouden allerlei restricties op moeten zitten, zowel op de autoriteit als op de domeinen.
(en dan bedoel ik restricties die ook echt werken in browsers als Firefox, geen researchprojecten)
Maar nee, zelfs een root certificaat (revocation) list is er al niet eens, daarvoor moeten ze een nieuwe versie van
de browser uitbrengen. Klinkt allemaal niet erg hufterproof.
Daar zouden allerlei restricties op moeten zitten, zowel op de autoriteit als op de domeinen.
(en dan bedoel ik restricties die ook echt werken in browsers als Firefox, geen researchprojecten)
CAA records.
Maar net als met alle nieuwe records duurt het heel lang voor het gemeengoed is geworden.
Of het moet een keer goed fout gaan. Dan gaan partijen sneller over tot implementatie.
Peter
Wil je het dus goed doen, moet je de CA van de overheid verwijderen, maar dan verwijder je ook de overige leveranciers van de overheid zoals KPN.
Daar zouden allerlei restricties op moeten zitten, zowel op de autoriteit als op de domeinen.
(en dan bedoel ik restricties die ook echt werken in browsers als Firefox, geen researchprojecten)
CAA records.
Maar net als met alle nieuwe records duurt het heel lang voor het gemeengoed is geworden.
Firefox support dat helemaal niet! Dus laat staan dat je het aspect "wanneer zijn die records er" hoeft te overwegen.
Laten ze DAAR dan eens aan gaan werken...
Wil je het dus goed doen, moet je de CA van de overheid verwijderen, maar dan verwijder je ook de overige leveranciers van de overheid zoals KPN.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.