Google wil levensduur certificaten verkorten naar 13 maanden
Als het aan Google ligt zijn tls-certificaten die websites voor een versleutelde verbinding gebruiken straks nog maximaal 13 maanden geldig, in plaats van de 2 jaar en 3 maanden die nu wordt gehanteerd. Het voorstel van Googles Ryan Sleevi werd onlangs besproken tijdens een bijeenkomst van het CA/Browser Forum en afgelopen vrijdag gedeeld via de mailinglist van de organisatie.
Het CA/Browser Forum is een consortium van certificate authorities en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten. Volgens Sleevi, die steun kreeg voor zijn voorstel van Apple en Let's Encrypt, heeft het verkorten van de levensduur allerlei veiligheidsvoordelen. In het geval van problemen met uitgegeven certificaten zullen die namelijk veel sneller verlopen dan nu het geval is.
Daarnaast zorgt de huidige lange levensduur van certificaten ervoor dat gebruikers vergeten hoe of wanneer ze die moeten vervangen. Sleevi pleit ervoor om het voorstel dan ook snel door te voeren. Browsers zouden dan vanaf maart 2020 de kortere levensduur van certificaten kunnen gaan handhaven. Het zal echter nog eens 825 dagen duren voordat het laatste certificaat met een langere levensduur is verlopen en browsers van de kortere levensduur zullen profiteren. Tegen die tijd zijn we al in juni 2022 beland, merkt Sleevi op.
Certificaatautoriteit DigiCert is niet blij met het plan. Het bedrijf twijfelt aan de beoogde compliance-voordelen. Door een kortere levensduur kunnen certificaten sneller aan nieuwe regels voldoen, maar DigiCert stelt dat het CA/Browser Forum juist regels moet opstellen die lange tijd kunnen meegaan. "Deze veranderingen maken het veel lastiger voor bedrijven om hun internetverkeer en klanten te beschermen, zonder dat het voordelen heeft", zegt Timothy Hollebeek van DigiCert. Het bedrijf zal zich dan ook tegen het voorstel verzetten. Volgens beveiligingsonderzoeker Scott Helme lijkt het er echter op dat DigiCert vooral de commerciële belangen van diens grote klanten wil beschermen.
Alles gratis. Jij bent het produkt.
Dat heeft Scott ook niet geschreven. De redactie citeert hem verkeerd. Scott schrijft niet dat DigiCert zijn eigen belang verdedigd, maar de belangen van zijn klanten. En die klanten hebben wel een belang om ze niet steeds te vervangen/kopen.
Alles gratis. Jij bent het produkt.
Leg eens uit.
Ik zit pas 20 jaar in de certificaten. Misschien mis ik iets.
Peter
Bij baidu.com en op de baidu browser.
Maar daar heeft Google weer een andere insteek.
#sockpuppet
Alles gratis. Jij bent het produkt.
Geen, foute certs kun je revoken
Welk probleem wordt geintroduceert?
Elk half jaar certs updaten? Op soms wel 10.000 systemen?
Wat is het voordeel voor de change requester?
Muchos $$$$$
Leg eens uit.
Ik zit pas 20 jaar in de certificaten. Misschien mis ik iets.
Peter
1. Google wou van IE6 af, dus zetten ze een banner op YouTube zodat IE6 werd afgeraden voor Chrome.
2. Google wil van AdBlockers af, dus veranderen ze een API waardoor ze veel minder krachtig worden.
3. Android is in principe opensource maar Google heeft het zo gemaakt dat Android zonder de Play-services bijna onbruikbaar is.
4. Nu MS Edge wordt omgebouwd naar Chromium was Google blij, want 1 rendering engine voor alle browsers zou makkelijk zijn toch? En laat dat nou net diegene van Google zelf zijn.
5. Als Google een certificaten bedrijf niet aanstaat gooien ze die uit Chrome, en maken het daarmee ongeveer waardeloos voor de meeste internetgebruikers.
6. Als er wordt ondekt dat Google je afluistert, noemen ze de klokkenluider iemand met wangedrag.
1. https://www.theverge.com/2019/5/4/18529381/google-youtube-internet-explorer-6-kill-plot-engineer
2. https://latesthackingnews.com/2019/01/26/chrome-api-update-kills-ad-blockers-along-with-numerous-other-extensions/
3. https://www.makeuseof.com/tag/using-android-without-google/
4. https://www.theverge.com/2018/12/6/18129287/google-microsoft-edge-chromium-response
4. https://www.security.nl/posting/591404/Mozilla+vreest+nieuw+browsermonopolie+met+Chromium
5. https://www.security.nl/posting/618305/Google+gaat+certificaten+securitybedrijf+DarkMatter+blokkeren
6. https://www.security.nl/posting/616905/Google+hekelt+medewerker+die+Nederlandse+opnamen+lekte
Het is een volkomen terecht argument .
Als je dingen weinig of nooit doet, verleer je ze, vergeet je ze en worden mensen bang om het doen als het dan toch eens nodig is.
Dat geldt net zo goed voor beheerders en handigheid in het vervangen van certificaten (en uberhaupt bijhouden waar welke certificaten staan).
In twee+ jaar kunnen er zomaar een paar mensen naar een andere functie of andere werkgever gegaan zijn, en dan kan de institutionele kennis wat/waar/hoe heel snel verdampen.
Hetzelfde argument geldt voor het _testen_ van disaster recovery procedures en systemen.
Wat is dat nou voor een betutteling van die Google man.
CB-Forum hoeft slechts te informeren, te waarschuwen en te adviseren,
en laat iedereen dan zelf zijn risicoanalyse maar maken wat het beste voor ze is.
Tuurlijk, een certificaat dat 2x zo lang meegaat heeft ongeveer een ruim 2x grotere kans om voortijdig te worden ingetrokken vanwege security-problemen. Dat wisten iedereen toch al lang?
[...]
In twee+ jaar kunnen er zomaar een paar mensen naar een andere functie of andere werkgever gegaan zijn, en dan kan de institutionele kennis wat/waar/hoe heel snel verdampen.
Hetzelfde argument geldt voor het _testen_ van disaster recovery procedures en systemen.
Maar dat is volgens mij ook juist de reden dat van dit soort zaken er werkinstructies dienen te zijn hoe het uitgevoerd dient te worden. Nou ken ik zelf ook weinig omgevingen waar men dit soort Knowledge Bases echt goed op orde heeft, maar we zijn hier dan ook theoretisch aan het praten.
Leg eens uit.
Ik zit pas 20 jaar in de certificaten. Misschien mis ik iets.
Peter
1. Google wou van IE6 af, dus zetten ze een banner op YouTube zodat IE6 werd afgeraden voor Chrome.
2. Google wil van AdBlockers af, dus veranderen ze een API waardoor ze veel minder krachtig worden.
3. Android is in principe opensource maar Google heeft het zo gemaakt dat Android zonder de Play-services bijna onbruikbaar is.
4. Nu MS Edge wordt omgebouwd naar Chromium was Google blij, want 1 rendering engine voor alle browsers zou makkelijk zijn toch? En laat dat nou net diegene van Google zelf zijn.
5. Als Google een certificaten bedrijf niet aanstaat gooien ze die uit Chrome, en maken het daarmee ongeveer waardeloos voor de meeste internetgebruikers.
6. Als er wordt ondekt dat Google je afluistert, noemen ze de klokkenluider iemand met wangedrag.
1. https://www.theverge.com/2019/5/4/18529381/google-youtube-internet-explorer-6-kill-plot-engineer
2. https://latesthackingnews.com/2019/01/26/chrome-api-update-kills-ad-blockers-along-with-numerous-other-extensions/
3. https://www.makeuseof.com/tag/using-android-without-google/
4. https://www.theverge.com/2018/12/6/18129287/google-microsoft-edge-chromium-response
4. https://www.security.nl/posting/591404/Mozilla+vreest+nieuw+browsermonopolie+met+Chromium
5. https://www.security.nl/posting/618305/Google+gaat+certificaten+securitybedrijf+DarkMatter+blokkeren
6. https://www.security.nl/posting/616905/Google+hekelt+medewerker+die+Nederlandse+opnamen+lekte
Wanneer we allemaal stoppen met het gebruik van:
1. Google Search Engine
2. Google Chrome browser
3. Google Android
Dan zal de macht langzaam verdwijnen. Maar Chrome is toch zo fijn, Android is de best, en Google Search niet overtroffen. Ondanks de uitstekende alternatieven.
Alles gratis. Jij bent het produkt.
Het is een heel serieus (gevaarlijk) 'spel'. Hou je kinderen maar binnen als de anderen aan het geo cashen / pokemonnen zijn.
De heel grote cloud providers kunne dit gemakkelijker (automatiseren)
fouten van lokale beheerders zorgt voor discontinuïteit in beschikbaarheid.
Dit leidt tot ergernis in de bestuurskamer mbt de eigen IT.
Dat leidt tot gemakkelijker overstappen naar de cloud.
En daar is Google één van de groten.
Wanneer we allemaal stoppen met het gebruik van:
1. Google Search Engine
2. Google Chrome browser
3. Google Android
Dan zal de macht langzaam verdwijnen. Maar Chrome is toch zo fijn, Android is de best, en Google Search niet overtroffen. Ondanks de uitstekende alternatieven.
Check, duckduckgo (heeeel incidenteel google)
Check, Firefox
Geen Check, Ik vind Android persoonlijk veel fijner dan Apple, en echt meer smaken zijn er niet.
Geen, foute certs kun je revoken
Welk probleem wordt geintroduceert?
Elk half jaar certs updaten? Op soms wel 10.000 systemen?
Wat is het voordeel voor de change requester?
Muchos $$$$$
Bij mijn vorige werkgever hebben ze Let's Encrypt aangeboden voor klanten, zo'n 35.000. Is minder werk. Eenmaal goed geautomatiseerd en je hebt er geen omkijken aan. In tegenstelling tot comodo e.a. die telkens weer handmatig aangevraagd moeten worden, met heel veel klanten die wel een website hebben maar totaal niet weten hoe die zertifikaten werken en dus aankloppen bij de hoster met support vragen, cert aanvragen etc, klanten weer waarschuwen dat hun cert verloopt. Geen reactie, cert verloopt, klanten boos aan de lijn etc etc etc
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?