image

Chrome en Firefox blokkeren certificaat Kazachstaanse overheid

donderdag 22 augustus 2019, 07:02 door Redactie, 11 reacties

Google en Mozilla hebben besloten een certificaat van de Kazachstaanse overheid te blokkeren om zo te voorkomen dat het verkeer van Chrome- en Firefox-gebruikers in het land kan worden onderschept. Dat hebben beide bedrijven via een blogposting bekendgemaakt.

Kazachstaanse providers vroege vorige maand hun klanten via sms en hun eigen websites om op elk apparaat met internettoegang een door de overheid uitgegeven certificaat te installeren waarmee het https-verkeer kan worden onderschept. Bij gebruikers die dit niet deden zou de internettoegang worden beperkt. Volgens de providers was de installatie van het certificaat noodzakelijk om de verspreiding van door de wet verboden informatie tegen te gaan.

Begin deze maand stelde de Kazachstaanse overheid dat het om een test ging en dat het plan werd gestaakt. De Kazachstaanse inlichtingendienst liet echter wel weten dat het certificaat in de toekomst mogelijk weer zou worden uitgerold als zich een dreiging voor de nationale veiligheid in de vorm van cyber- en informatieaanvallen zou voordoen. Nu de test is afgerond kunnen burgers het certificaat van hun computers en telefoons weer verwijderen, zo liet de dienst weten.

Om het onderscheppen en aanpassen van versleuteld tls-verkeer te voorkomen hebben Google en Mozilla ervoor gekozen om het rootcertificaat van de Kazachstaanse overheid te blokkeren. Zelfs als gebruikers het certificaat hebben geïnstalleerd wordt het niet door de browsers vertrouwd. Wanneer gebruikers een website bezoeken die van het certificaat gebruikmaakt laat de browser een foutmelding zien.

Volgens Google is het niet juist om met certificaten verkeer op het openbare internet te onderscheppen. "We nemen dit soort acties niet zomaar, maar het beschermen van onze gebruikers en de integriteit van het web is de reden dat Firefox bestaat", zegt Mozillas Marshall Erwin. Gebruikers hoeven niets te doen om het certificaat door de browsers te laten blokkeren. Mozilla adviseert Kazachstaanse gebruikers daarnaast om naar het gebruik van een vpn of Tor Browser te kijken en wanneer het certificaat is geïnstalleerd alle wachtwoorden te wijzigen.

Reacties (11)
22-08-2019, 08:46 door Anoniem
Wie gebruiken nog meer de Kazachstaanse methode,
zonder dat dit ophef veroorzaakt en komen ermee weg?
#sockpuppet
22-08-2019, 09:26 door Bitje-scheef
Denk dat Firefox en Google een goed punt hebben.
22-08-2019, 09:59 door Anoniem
Checken bij badssl/dashboard
22-08-2019, 10:04 door Anoniem
Het is de overheid. Hebben ze wel een goed punt? Wie bepaald wat kan en wat niet? Gaan Google en Firefox bepalen wat democratie en vrijheid is? Wanneer Amerika zegt je bent dictator staat ben je het? Een hele gevaarlijke ontwikkeling dat Amerikaanse internet bedrijven teveel met politiek bemoeien. Een onafhankelijke organisatie hoort straffen uit te delen. Niet deze bedrijven.
22-08-2019, 10:13 door Anoniem
en deze dan? blokeer en of verwijder dan ook rootseritificaten van het bedrijf darkmmater QouVadis...
deze zijn puur spyware men zoekt gelijk om de 1 a2 minuten contact met het bedrijf geloof me kijk maar bij google
op je account bij google zie je het zo.bij deze
22-08-2019, 10:48 door Anoniem
Door Anoniem: Wie gebruiken nog meer de Kazachstaanse methode,
zonder dat dit ophef veroorzaakt en komen ermee weg?
Nederland heeft ook een rootcertificaat. Kan hier dus ook gebeuren.
Het is niet erg praktisch om dat certificaat te blokkeren. Wat je eigenlijk zou willen is een "alert" vinkje per rootcertificaat
zodat als een site dit certificaat gebruikt er iets verandert aan het slotje (andere kleur, uitroepteken erbij ofzo) zodat het
zou kunnen opvallen als alle sites ineens dat certificaat gebruiken in plaats van alleen sites van de overheid.
22-08-2019, 10:57 door [Account Verwijderd]
Kazachstan heeft dit onzalige plan al weer ingetrokken.
22-08-2019, 12:20 door Bitwiper
Door EnGeeX: Kazachstan heeft dit onzalige plan al weer ingetrokken.
Daarnaast zou het effect ervan vooral van symbolische waarde zijn: gebruikers zouden dan (als de Kazachstaanse overheid deze maatregel zou blijven inzetten) met de Firefox en Chrome browsers recentelijk bezochte https websites met HSTS niet meer kunnen bezoeken [*], en https websites zonder HSTS alleen na een certificaatwaarschuwing (of via http).

[*] Tenzij ze de HSTS database uit hun browserprofiel verwijderen, of hun hele browserprofiel resetten - en de Kazachstaanse overheid, on-the-fly, HSTS headers verwijdert zodat deze niet opnieuw worden toegevoegd.

De "oplossing" voor gebruikers wordt dan al snel genoegen nemen met http (ipv https) of het gebruiken van een andere webbrowser die zo'n rootcertificaat niet blokkeert. E.e.a. wellicht met als gevolg dat de Kazachstaanse overheid een aangepaste variant van Chromium en Firefox beschikbaar gaat stellen (open source kent niet alleen voordelen).

Maar aangezien, zoals EnGeeX aangeeft, Kazachstan het plan alweer heeft ingetrokken, lijkt dit vooral een inhoudsloze "kijk ons eens voor vrijheden vechten" reclamecampagne.

Daarnaast slaat #sockpuppet natuurlijk de spijker op z'n kop. Het zou mij niet verbazen als onderdrukte bevolkingsgroepen zoals de Oeigoeren met dit soort inbreuken te maken zouden blijken te hebben.
22-08-2019, 19:17 door spatieman
Door EnGeeX: Kazachstan heeft dit onzalige plan al weer ingetrokken.
kan je dat bewijzen ?
wie zegt ons niet dat stiekem het toch in werking is.
23-08-2019, 21:30 door Anoniem
Door Anoniem: Het is de overheid. Hebben ze wel een goed punt? Wie bepaald wat kan en wat niet? Gaan Google en Firefox bepalen wat democratie en vrijheid is?

Ehh google en firefox maken een browser. Die heeft een aantal default certificaten waarmee andere gesignde certs wel of niet kunnen worden vertrouwt. Het is hun recht, nee plicht om certificaten die niet vertrouwd worden te verwijderen. Als ze dat niet doen is hun software brak.

Welke certificaten wel en niet vertrouwd worden is onderling tussen mensen afgesproken. Dat is het al vanaf dag 1. Een kwestie van vertrouwen gebaseerd op afspraken. EN nu hebben twee partijen afgesproken dat een bepaalde cert niet vertrouwd word. Als je het niet eens bent met hun afspraken moet je andere software gebruiken. Gene probleem.

Wanneer Amerika zegt je bent dictator staat ben je het?

Nee, maar Amerika kan wel besluiten om handelssancties op te leggen. En spullen uit jouw land niet meer te vertrouwen. Dat is geen probleem vour jou, want het staat je geheel vrij om te handelen met de rest van de wereld.


Een hele gevaarlijke ontwikkeling dat Amerikaanse internet bedrijven teveel met politiek bemoeien.

Dat doen ze dus al vanaf dag 1 van het onstaan van SSL. Zo werkt het.

Een onafhankelijke organisatie hoort straffen uit te delen. Niet deze bedrijven.

Het is geen straf, het is de werking van SSL. Het staat jou vrij om hun producten niet te gebruiken. Maar functioneren zo geheel naar behoren.

Het is erger dan wanneer die bedrijven, ongeacht dat bepaalde certificaten niet meer vertrouwd dienen te worden, omdat de eigenaren er shady praktijken op na houden, ze toch niet uit hun producten verwijden. Dat zou veel enger zijn. En dan zou hun software gewoon stuk, of in ieder geval outdated zijn.
25-08-2019, 00:35 door Anoniem
Door Anoniem: Wie gebruiken nog meer de Kazachstaanse methode,
zonder dat dit ophef veroorzaakt en komen ermee weg?
#sockpuppet
We zullen het vragen een aan onafhankelijk journalist, bijvoorbeeld Borat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.