Google wil levensduur certificaten verkorten naar 13 maanden
Als het aan Google ligt zijn tls-certificaten die websites voor een versleutelde verbinding gebruiken straks nog maximaal 13 maanden geldig, in plaats van de 2 jaar en 3 maanden die nu wordt gehanteerd. Het voorstel van Googles Ryan Sleevi werd onlangs besproken tijdens een bijeenkomst van het CA/Browser Forum en afgelopen vrijdag gedeeld via de mailinglist van de organisatie.
Het CA/Browser Forum is een consortium van certificate authorities en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten. Volgens Sleevi, die steun kreeg voor zijn voorstel van Apple en Let's Encrypt, heeft het verkorten van de levensduur allerlei veiligheidsvoordelen. In het geval van problemen met uitgegeven certificaten zullen die namelijk veel sneller verlopen dan nu het geval is.
Daarnaast zorgt de huidige lange levensduur van certificaten ervoor dat gebruikers vergeten hoe of wanneer ze die moeten vervangen. Sleevi pleit ervoor om het voorstel dan ook snel door te voeren. Browsers zouden dan vanaf maart 2020 de kortere levensduur van certificaten kunnen gaan handhaven. Het zal echter nog eens 825 dagen duren voordat het laatste certificaat met een langere levensduur is verlopen en browsers van de kortere levensduur zullen profiteren. Tegen die tijd zijn we al in juni 2022 beland, merkt Sleevi op.
Certificaatautoriteit DigiCert is niet blij met het plan. Het bedrijf twijfelt aan de beoogde compliance-voordelen. Door een kortere levensduur kunnen certificaten sneller aan nieuwe regels voldoen, maar DigiCert stelt dat het CA/Browser Forum juist regels moet opstellen die lange tijd kunnen meegaan. "Deze veranderingen maken het veel lastiger voor bedrijven om hun internetverkeer en klanten te beschermen, zonder dat het voordelen heeft", zegt Timothy Hollebeek van DigiCert. Het bedrijf zal zich dan ook tegen het voorstel verzetten. Volgens beveiligingsonderzoeker Scott Helme lijkt het er echter op dat DigiCert vooral de commerciële belangen van diens grote klanten wil beschermen.
Alles gratis. Jij bent het produkt.
Dat heeft Scott ook niet geschreven. De redactie citeert hem verkeerd. Scott schrijft niet dat DigiCert zijn eigen belang verdedigd, maar de belangen van zijn klanten. En die klanten hebben wel een belang om ze niet steeds te vervangen/kopen.
Alles gratis. Jij bent het produkt.
Leg eens uit.
Ik zit pas 20 jaar in de certificaten. Misschien mis ik iets.
Peter
Bij baidu.com en op de baidu browser.
Maar daar heeft Google weer een andere insteek.
#sockpuppet
Alles gratis. Jij bent het produkt.
Geen, foute certs kun je revoken
Welk probleem wordt geintroduceert?
Elk half jaar certs updaten? Op soms wel 10.000 systemen?
Wat is het voordeel voor de change requester?
Muchos $$$$$
Leg eens uit.
Ik zit pas 20 jaar in de certificaten. Misschien mis ik iets.
Peter
1. Google wou van IE6 af, dus zetten ze een banner op YouTube zodat IE6 werd afgeraden voor Chrome.
2. Google wil van AdBlockers af, dus veranderen ze een API waardoor ze veel minder krachtig worden.
3. Android is in principe opensource maar Google heeft het zo gemaakt dat Android zonder de Play-services bijna onbruikbaar is.
4. Nu MS Edge wordt omgebouwd naar Chromium was Google blij, want 1 rendering engine voor alle browsers zou makkelijk zijn toch? En laat dat nou net diegene van Google zelf zijn.
5. Als Google een certificaten bedrijf niet aanstaat gooien ze die uit Chrome, en maken het daarmee ongeveer waardeloos voor de meeste internetgebruikers.
6. Als er wordt ondekt dat Google je afluistert, noemen ze de klokkenluider iemand met wangedrag.
1. https://www.theverge.com/2019/5/4/18529381/google-youtube-internet-explorer-6-kill-plot-engineer
2. https://latesthackingnews.com/2019/01/26/chrome-api-update-kills-ad-blockers-along-with-numerous-other-extensions/
3. https://www.makeuseof.com/tag/using-android-without-google/
4. https://www.theverge.com/2018/12/6/18129287/google-microsoft-edge-chromium-response
4. https://www.security.nl/posting/591404/Mozilla+vreest+nieuw+browsermonopolie+met+Chromium
5. https://www.security.nl/posting/618305/Google+gaat+certificaten+securitybedrijf+DarkMatter+blokkeren
6. https://www.security.nl/posting/616905/Google+hekelt+medewerker+die+Nederlandse+opnamen+lekte
Het is een volkomen terecht argument .
Als je dingen weinig of nooit doet, verleer je ze, vergeet je ze en worden mensen bang om het doen als het dan toch eens nodig is.
Dat geldt net zo goed voor beheerders en handigheid in het vervangen van certificaten (en uberhaupt bijhouden waar welke certificaten staan).
In twee+ jaar kunnen er zomaar een paar mensen naar een andere functie of andere werkgever gegaan zijn, en dan kan de institutionele kennis wat/waar/hoe heel snel verdampen.
Hetzelfde argument geldt voor het _testen_ van disaster recovery procedures en systemen.
Wat is dat nou voor een betutteling van die Google man.
CB-Forum hoeft slechts te informeren, te waarschuwen en te adviseren,
en laat iedereen dan zelf zijn risicoanalyse maar maken wat het beste voor ze is.
Tuurlijk, een certificaat dat 2x zo lang meegaat heeft ongeveer een ruim 2x grotere kans om voortijdig te worden ingetrokken vanwege security-problemen. Dat wisten iedereen toch al lang?
[...]
In twee+ jaar kunnen er zomaar een paar mensen naar een andere functie of andere werkgever gegaan zijn, en dan kan de institutionele kennis wat/waar/hoe heel snel verdampen.
Hetzelfde argument geldt voor het _testen_ van disaster recovery procedures en systemen.
Maar dat is volgens mij ook juist de reden dat van dit soort zaken er werkinstructies dienen te zijn hoe het uitgevoerd dient te worden. Nou ken ik zelf ook weinig omgevingen waar men dit soort Knowledge Bases echt goed op orde heeft, maar we zijn hier dan ook theoretisch aan het praten.
Leg eens uit.
Ik zit pas 20 jaar in de certificaten. Misschien mis ik iets.
Peter
1. Google wou van IE6 af, dus zetten ze een banner op YouTube zodat IE6 werd afgeraden voor Chrome.
2. Google wil van AdBlockers af, dus veranderen ze een API waardoor ze veel minder krachtig worden.
3. Android is in principe opensource maar Google heeft het zo gemaakt dat Android zonder de Play-services bijna onbruikbaar is.
4. Nu MS Edge wordt omgebouwd naar Chromium was Google blij, want 1 rendering engine voor alle browsers zou makkelijk zijn toch? En laat dat nou net diegene van Google zelf zijn.
5. Als Google een certificaten bedrijf niet aanstaat gooien ze die uit Chrome, en maken het daarmee ongeveer waardeloos voor de meeste internetgebruikers.
6. Als er wordt ondekt dat Google je afluistert, noemen ze de klokkenluider iemand met wangedrag.
1. https://www.theverge.com/2019/5/4/18529381/google-youtube-internet-explorer-6-kill-plot-engineer
2. https://latesthackingnews.com/2019/01/26/chrome-api-update-kills-ad-blockers-along-with-numerous-other-extensions/
3. https://www.makeuseof.com/tag/using-android-without-google/
4. https://www.theverge.com/2018/12/6/18129287/google-microsoft-edge-chromium-response
4. https://www.security.nl/posting/591404/Mozilla+vreest+nieuw+browsermonopolie+met+Chromium
5. https://www.security.nl/posting/618305/Google+gaat+certificaten+securitybedrijf+DarkMatter+blokkeren
6. https://www.security.nl/posting/616905/Google+hekelt+medewerker+die+Nederlandse+opnamen+lekte
Wanneer we allemaal stoppen met het gebruik van:
1. Google Search Engine
2. Google Chrome browser
3. Google Android
Dan zal de macht langzaam verdwijnen. Maar Chrome is toch zo fijn, Android is de best, en Google Search niet overtroffen. Ondanks de uitstekende alternatieven.
Alles gratis. Jij bent het produkt.
Het is een heel serieus (gevaarlijk) 'spel'. Hou je kinderen maar binnen als de anderen aan het geo cashen / pokemonnen zijn.
De heel grote cloud providers kunne dit gemakkelijker (automatiseren)
fouten van lokale beheerders zorgt voor discontinuïteit in beschikbaarheid.
Dit leidt tot ergernis in de bestuurskamer mbt de eigen IT.
Dat leidt tot gemakkelijker overstappen naar de cloud.
En daar is Google één van de groten.
Wanneer we allemaal stoppen met het gebruik van:
1. Google Search Engine
2. Google Chrome browser
3. Google Android
Dan zal de macht langzaam verdwijnen. Maar Chrome is toch zo fijn, Android is de best, en Google Search niet overtroffen. Ondanks de uitstekende alternatieven.
Check, duckduckgo (heeeel incidenteel google)
Check, Firefox
Geen Check, Ik vind Android persoonlijk veel fijner dan Apple, en echt meer smaken zijn er niet.
Geen, foute certs kun je revoken
Welk probleem wordt geintroduceert?
Elk half jaar certs updaten? Op soms wel 10.000 systemen?
Wat is het voordeel voor de change requester?
Muchos $$$$$
Bij mijn vorige werkgever hebben ze Let's Encrypt aangeboden voor klanten, zo'n 35.000. Is minder werk. Eenmaal goed geautomatiseerd en je hebt er geen omkijken aan. In tegenstelling tot comodo e.a. die telkens weer handmatig aangevraagd moeten worden, met heel veel klanten die wel een website hebben maar totaal niet weten hoe die zertifikaten werken en dus aankloppen bij de hoster met support vragen, cert aanvragen etc, klanten weer waarschuwen dat hun cert verloopt. Geen reactie, cert verloopt, klanten boos aan de lijn etc etc etc
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.