Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Google wil levensduur certificaten verkorten naar 13 maanden

maandag 19 augustus 2019, 06:54 door Redactie, 20 reacties
Laatst bijgewerkt: 19-08-2019, 11:43

Als het aan Google ligt zijn tls-certificaten die websites voor een versleutelde verbinding gebruiken straks nog maximaal 13 maanden geldig, in plaats van de 2 jaar en 3 maanden die nu wordt gehanteerd. Het voorstel van Googles Ryan Sleevi werd onlangs besproken tijdens een bijeenkomst van het CA/Browser Forum en afgelopen vrijdag gedeeld via de mailinglist van de organisatie.

Het CA/Browser Forum is een consortium van certificate authorities en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten. Volgens Sleevi, die steun kreeg voor zijn voorstel van Apple en Let's Encrypt, heeft het verkorten van de levensduur allerlei veiligheidsvoordelen. In het geval van problemen met uitgegeven certificaten zullen die namelijk veel sneller verlopen dan nu het geval is.

Daarnaast zorgt de huidige lange levensduur van certificaten ervoor dat gebruikers vergeten hoe of wanneer ze die moeten vervangen. Sleevi pleit ervoor om het voorstel dan ook snel door te voeren. Browsers zouden dan vanaf maart 2020 de kortere levensduur van certificaten kunnen gaan handhaven. Het zal echter nog eens 825 dagen duren voordat het laatste certificaat met een langere levensduur is verlopen en browsers van de kortere levensduur zullen profiteren. Tegen die tijd zijn we al in juni 2022 beland, merkt Sleevi op.

Certificaatautoriteit DigiCert is niet blij met het plan. Het bedrijf twijfelt aan de beoogde compliance-voordelen. Door een kortere levensduur kunnen certificaten sneller aan nieuwe regels voldoen, maar DigiCert stelt dat het CA/Browser Forum juist regels moet opstellen die lange tijd kunnen meegaan. "Deze veranderingen maken het veel lastiger voor bedrijven om hun internetverkeer en klanten te beschermen, zonder dat het voordelen heeft", zegt Timothy Hollebeek van DigiCert. Het bedrijf zal zich dan ook tegen het voorstel verzetten. Volgens beveiligingsonderzoeker Scott Helme lijkt het er echter op dat DigiCert vooral de commerciële belangen van diens grote klanten wil beschermen.

Firefox-lek maakte diefstal opgeslagen wachtwoorden mogelijk
Etten-Leur lekt door fout 2000 e-mailadressen van inwoners
Reacties (20)
19-08-2019, 07:26 door Anoniem
En dit vergroot opnieuw de macht van Google en de Cloudboys.
Alles gratis. Jij bent het produkt.
19-08-2019, 08:45 door Anoniem
Daarnaast zorgt de huidige lange levensduur van certificaten ervoor dat gebruikers vergeten hoe of wanneer ze die moeten vervangen.
Ik ben het over het algemeen eens met dit verhaal, maar dit vind ik wel een erg mager argument. Als we al dingen niet gaan doen omdat beheerders (niet gewone gebruikers) dingen niet kunnen, dan kunnen we maar beter de meeste systemen gewoon uit gooien.

Volgens beveiligingsonderzoeker Scott Helme lijkt het er echter op dat DigiCert vooral de eigen commerciële belangen wil beschermen.
Wat apart is, aangezien je als certificatenboer bij een kortere geldigheidsduur, je meer certificaten zal verkopen per jaar.
19-08-2019, 09:41 door Briolet
Door Anoniem:
Volgens beveiligingsonderzoeker Scott Helme lijkt het er echter op dat DigiCert vooral de eigen commerciële belangen wil beschermen.
Wat apart is, aangezien je als certificatenboer bij een kortere geldigheidsduur, je meer certificaten zal verkopen per jaar.

Dat heeft Scott ook niet geschreven. De redactie citeert hem verkeerd. Scott schrijft niet dat DigiCert zijn eigen belang verdedigd, maar de belangen van zijn klanten. En die klanten hebben wel een belang om ze niet steeds te vervangen/kopen.
19-08-2019, 10:16 door Anoniem
Door Anoniem: En dit vergroot opnieuw de macht van Google en de Cloudboys.
Alles gratis. Jij bent het produkt.

Leg eens uit.
Ik zit pas 20 jaar in de certificaten. Misschien mis ik iets.

Peter
19-08-2019, 10:30 door Anoniem
Alleen blijft het onveilig op de mainland China infrastructuur.
Bij baidu.com en op de baidu browser.
Maar daar heeft Google weer een andere insteek.
#sockpuppet
19-08-2019, 11:10 door Anoniem
Door Anoniem:
Daarnaast zorgt de huidige lange levensduur van certificaten ervoor dat gebruikers vergeten hoe of wanneer ze die moeten vervangen.
Ik ben het over het algemeen eens met dit verhaal, maar dit vind ik wel een erg mager argument. Als we al dingen niet gaan doen omdat beheerders (niet gewone gebruikers) dingen niet kunnen, dan kunnen we maar beter de meeste systemen gewoon uit gooien.

Volgens beveiligingsonderzoeker Scott Helme lijkt het er echter op dat DigiCert vooral de eigen commerciële belangen wil beschermen.
Wat apart is, aangezien je als certificatenboer bij een kortere geldigheidsduur, je meer certificaten zal verkopen per jaar.
Grotere organisaties kopen geen certificaten per stuk, die betalen een vast bedrag per jaar ongeacht hoeveel certificaten ze aanvragen.
19-08-2019, 11:23 door Anoniem
Gratis SSL certificaten met subdomeinen aangemaakt waar de rechtmatige eigenaar geen weet van heeft. Wie was mede drijvende kracht achter de let's encrypt campagne? Juist, Google.
19-08-2019, 11:24 door Anoniem
Door Anoniem: En dit vergroot opnieuw de macht van Google en de Cloudboys.
Alles gratis. Jij bent het produkt.
het staat je gehaal vrij om een betaald of gratis certificaat te kiezen dus begrijp deze opmerking niet helemaal.
19-08-2019, 11:43 door Anoniem
Welk probleem wordt hiermee opgelost?
Geen, foute certs kun je revoken

Welk probleem wordt geintroduceert?
Elk half jaar certs updaten? Op soms wel 10.000 systemen?

Wat is het voordeel voor de change requester?
Muchos $$$$$
19-08-2019, 11:51 door Anoniem
Door Anoniem:
Leg eens uit.
Ik zit pas 20 jaar in de certificaten. Misschien mis ik iets.

Peter
Hij/Zij bedoelt dat Google steeds meer macht heeft wat betreft internetzaken:
1. Google wou van IE6 af, dus zetten ze een banner op YouTube zodat IE6 werd afgeraden voor Chrome.
2. Google wil van AdBlockers af, dus veranderen ze een API waardoor ze veel minder krachtig worden.
3. Android is in principe opensource maar Google heeft het zo gemaakt dat Android zonder de Play-services bijna onbruikbaar is.
4. Nu MS Edge wordt omgebouwd naar Chromium was Google blij, want 1 rendering engine voor alle browsers zou makkelijk zijn toch? En laat dat nou net diegene van Google zelf zijn.
5. Als Google een certificaten bedrijf niet aanstaat gooien ze die uit Chrome, en maken het daarmee ongeveer waardeloos voor de meeste internetgebruikers.
6. Als er wordt ondekt dat Google je afluistert, noemen ze de klokkenluider iemand met wangedrag.

1. https://www.theverge.com/2019/5/4/18529381/google-youtube-internet-explorer-6-kill-plot-engineer
2. https://latesthackingnews.com/2019/01/26/chrome-api-update-kills-ad-blockers-along-with-numerous-other-extensions/
3. https://www.makeuseof.com/tag/using-android-without-google/
4. https://www.theverge.com/2018/12/6/18129287/google-microsoft-edge-chromium-response
4. https://www.security.nl/posting/591404/Mozilla+vreest+nieuw+browsermonopolie+met+Chromium
5. https://www.security.nl/posting/618305/Google+gaat+certificaten+securitybedrijf+DarkMatter+blokkeren
6. https://www.security.nl/posting/616905/Google+hekelt+medewerker+die+Nederlandse+opnamen+lekte
19-08-2019, 12:05 door Anoniem
Door Anoniem:
Daarnaast zorgt de huidige lange levensduur van certificaten ervoor dat gebruikers vergeten hoe of wanneer ze die moeten vervangen.
Ik ben het over het algemeen eens met dit verhaal, maar dit vind ik wel een erg mager argument. Als we al dingen niet gaan doen omdat beheerders (niet gewone gebruikers) dingen niet kunnen, dan kunnen we maar beter de meeste systemen gewoon uit gooien.

Het is een volkomen terecht argument .
Als je dingen weinig of nooit doet, verleer je ze, vergeet je ze en worden mensen bang om het doen als het dan toch eens nodig is.

Dat geldt net zo goed voor beheerders en handigheid in het vervangen van certificaten (en uberhaupt bijhouden waar welke certificaten staan).

In twee+ jaar kunnen er zomaar een paar mensen naar een andere functie of andere werkgever gegaan zijn, en dan kan de institutionele kennis wat/waar/hoe heel snel verdampen.

Hetzelfde argument geldt voor het _testen_ van disaster recovery procedures en systemen.
19-08-2019, 12:44 door Anoniem
Waarom laat men het risico niet over aan de klant. Het gaat hier toch om volwassen mensen?
Wat is dat nou voor een betutteling van die Google man.
CB-Forum hoeft slechts te informeren, te waarschuwen en te adviseren,
en laat iedereen dan zelf zijn risicoanalyse maar maken wat het beste voor ze is.

Tuurlijk, een certificaat dat 2x zo lang meegaat heeft ongeveer een ruim 2x grotere kans om voortijdig te worden ingetrokken vanwege security-problemen. Dat wisten iedereen toch al lang?
19-08-2019, 12:49 door Prx
Door Anoniem:
[...]

In twee+ jaar kunnen er zomaar een paar mensen naar een andere functie of andere werkgever gegaan zijn, en dan kan de institutionele kennis wat/waar/hoe heel snel verdampen.

Hetzelfde argument geldt voor het _testen_ van disaster recovery procedures en systemen.

Maar dat is volgens mij ook juist de reden dat van dit soort zaken er werkinstructies dienen te zijn hoe het uitgevoerd dient te worden. Nou ken ik zelf ook weinig omgevingen waar men dit soort Knowledge Bases echt goed op orde heeft, maar we zijn hier dan ook theoretisch aan het praten.
19-08-2019, 13:00 door Anoniem
Door Anoniem:
Door Anoniem:
Leg eens uit.
Ik zit pas 20 jaar in de certificaten. Misschien mis ik iets.

Peter
Hij/Zij bedoelt dat Google steeds meer macht heeft wat betreft internetzaken:
1. Google wou van IE6 af, dus zetten ze een banner op YouTube zodat IE6 werd afgeraden voor Chrome.
2. Google wil van AdBlockers af, dus veranderen ze een API waardoor ze veel minder krachtig worden.
3. Android is in principe opensource maar Google heeft het zo gemaakt dat Android zonder de Play-services bijna onbruikbaar is.
4. Nu MS Edge wordt omgebouwd naar Chromium was Google blij, want 1 rendering engine voor alle browsers zou makkelijk zijn toch? En laat dat nou net diegene van Google zelf zijn.
5. Als Google een certificaten bedrijf niet aanstaat gooien ze die uit Chrome, en maken het daarmee ongeveer waardeloos voor de meeste internetgebruikers.
6. Als er wordt ondekt dat Google je afluistert, noemen ze de klokkenluider iemand met wangedrag.

1. https://www.theverge.com/2019/5/4/18529381/google-youtube-internet-explorer-6-kill-plot-engineer
2. https://latesthackingnews.com/2019/01/26/chrome-api-update-kills-ad-blockers-along-with-numerous-other-extensions/
3. https://www.makeuseof.com/tag/using-android-without-google/
4. https://www.theverge.com/2018/12/6/18129287/google-microsoft-edge-chromium-response
4. https://www.security.nl/posting/591404/Mozilla+vreest+nieuw+browsermonopolie+met+Chromium
5. https://www.security.nl/posting/618305/Google+gaat+certificaten+securitybedrijf+DarkMatter+blokkeren
6. https://www.security.nl/posting/616905/Google+hekelt+medewerker+die+Nederlandse+opnamen+lekte

Wanneer we allemaal stoppen met het gebruik van:
1. Google Search Engine
2. Google Chrome browser
3. Google Android

Dan zal de macht langzaam verdwijnen. Maar Chrome is toch zo fijn, Android is de best, en Google Search niet overtroffen. Ondanks de uitstekende alternatieven.
19-08-2019, 17:01 door Anoniem
Door Anoniem: En dit vergroot opnieuw de macht van Google en de Cloudboys.
Alles gratis. Jij bent het produkt.

Het is een heel serieus (gevaarlijk) 'spel'. Hou je kinderen maar binnen als de anderen aan het geo cashen / pokemonnen zijn.
19-08-2019, 22:47 door Anoniem
ik denk dat er een ander verdienmodel achter zit.
De heel grote cloud providers kunne dit gemakkelijker (automatiseren)
fouten van lokale beheerders zorgt voor discontinuïteit in beschikbaarheid.
Dit leidt tot ergernis in de bestuurskamer mbt de eigen IT.
Dat leidt tot gemakkelijker overstappen naar de cloud.
En daar is Google één van de groten.
20-08-2019, 00:04 door Anoniem
Door Anoniem:
Door Anoniem:
Daarnaast zorgt de huidige lange levensduur van certificaten ervoor dat gebruikers vergeten hoe of wanneer ze die moeten vervangen.
Als we al dingen niet gaan doen omdat beheerders (niet gewone gebruikers) dingen niet kunnen, ...
Als je dingen weinig of nooit doet, verleer je ze, vergeet je ze en worden mensen bang om het doen als het dan toch eens nodig is.
Dan moet je het vervangen van certificaten automatiseren. Daar is al software voor en is vast ook nog aan een abo model te koppelen voor bedrijven die dat willen, c.q. leveranciers die hun verdienmodel willen behouden.
20-08-2019, 00:11 door Anoniem
Door Anoniem: Gratis SSL certificaten met subdomeinen aangemaakt waar de rechtmatige eigenaar geen weet van heeft. Wie was mede drijvende kracht achter de let's encrypt campagne? Juist, Google.
Samen met nog een heeeel aantal bedrijven.
20-08-2019, 00:15 door Anoniem
Door Anoniem:
Wanneer we allemaal stoppen met het gebruik van:
1. Google Search Engine
2. Google Chrome browser
3. Google Android

Dan zal de macht langzaam verdwijnen. Maar Chrome is toch zo fijn, Android is de best, en Google Search niet overtroffen. Ondanks de uitstekende alternatieven.

Check, duckduckgo (heeeel incidenteel google)
Check, Firefox
Geen Check, Ik vind Android persoonlijk veel fijner dan Apple, en echt meer smaken zijn er niet.
20-08-2019, 00:22 door Anoniem
Door Anoniem: Welk probleem wordt hiermee opgelost?
Geen, foute certs kun je revoken

Welk probleem wordt geintroduceert?
Elk half jaar certs updaten? Op soms wel 10.000 systemen?

Wat is het voordeel voor de change requester?
Muchos $$$$$

Bij mijn vorige werkgever hebben ze Let's Encrypt aangeboden voor klanten, zo'n 35.000. Is minder werk. Eenmaal goed geautomatiseerd en je hebt er geen omkijken aan. In tegenstelling tot comodo e.a. die telkens weer handmatig aangevraagd moeten worden, met heel veel klanten die wel een website hebben maar totaal niet weten hoe die zertifikaten werken en dus aankloppen bij de hoster met support vragen, cert aanvragen etc, klanten weer waarschuwen dat hun cert verloopt. Geen reactie, cert verloopt, klanten boos aan de lijn etc etc etc
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Image

Senior Security Consultant

Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.

Lees meer

Wat baart jou momenteel meer zorgen, traditionele criminaliteit of cybercrime?

11 reacties
Aantal stemmen: 887
Image
BYOD
04-03-2021 door Anoniem

Wanneer mensen een eigen device (BYOD) mee nemen naar werk: hoe bescherm jullie je daartegen? (Ben zelf tegen het gebruik van ...

12 reacties
Lees meer
Is een laptop die via de werkkostenregeling wordt vergoed een privélaptop?
03-03-2021 door Arnoud Engelfriet

Juridische vraag: Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en ...

19 reacties
Lees meer
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...

8 reacties
Lees meer
Certified Secure LIVE Online training
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter