image

Chrome en Firefox gaan tls-certificaten weigeren die langer dan 398 dagen geldig zijn

zondag 28 juni 2020, 20:36 door Redactie, 17 reacties
Laatst bijgewerkt: 29-06-2020, 11:10

Google Chrome gaat later dit jaar tls-certificaten weigeren die langer dan 398 dagen geldig zijn. Dat blijkt uit aanpassingen aan de browsercode. De nieuwe situatie gaat in op 1 september. Alle certificaten die vanaf die datum worden uitgegeven moeten een maximale levensduur van 398 dagen hebben. Wanneer certificaten over een langere levensduur beschikken zal Chrome die weigeren.

Vorig jaar augustus pleitte Google er al voor om de levensduur in te korten naar dertien maanden. Het techbedrijf kreeg steun van Apple en certificaatuitgever Let's Encrypt. Volgens Google heeft het verkorten van de levensduur allerlei veiligheidsvoordelen. In het geval van problemen met uitgegeven certificaten zullen die namelijk veel sneller verlopen dan nu het geval is. Daarnaast zorgt de huidige lange levensduur van certificaten ervoor dat gebruikers vergeten hoe of wanneer ze die moeten vervangen.

Google stelde vorig jaar voor dat browsers vanaf maart dit jaar de kortere levensduur van certificaten zouden kunnen gaan handhaven. Tijdens een bijeenkomst van het CA/Browser Forum in september werd erover het voorstel gestemd. Het CA/Browser Forum is een consortium van certificate authorities en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten.

Apple, Cisco, Google, Microsoft, Mozilla, Opera en internetbedrijf 360 waren voorstander, alsmede verschillende certificaatuitgevers, waaronder Amazon, Let's Encrypt en de Nederlandse overheidsinstantie Logius, verantwoordelijk voor PKIoverheid. Negentien certificaatuitgevers waren echter tegen en twee onthielden zich van stemming. Daardoor werd het voorstel niet aangenomen. In februari werd bekend dat Apple eenzijdig vanaf 1 september voor nieuw uitgegeven certificaten een maximale levensduur van 398 dagen gaat hanteren.

Vervolgens liet Google in maart weten dat de levensduur van certificaten in de "nabije toekomst" naar één jaar zou worden teruggebracht. In het geval Chrome- of Safari-gebruikers straks een website bezoeken die een versleutelde verbinding aanbiedt via een tls-certificaat dat op of na 1 september is uitgegeven, en langer dan 398 dagen geldig is, zullen de browsers een certificaatwaarschuwing laten zien.

Update

Ook Mozilla laat weten dat Firefox vanaf 1 september een maximale levensduur van 398 dagen voor nieuw uitgegeven certificaten gaat hanteren. Hierop is de titel aangepast.

Reacties (17)
28-06-2020, 21:35 door Anoniem
En wederom, Google bepaalt meer en meer hoe het internet werkt. Google is evil.
28-06-2020, 22:35 door Anoniem
Voorstel afgewezen en toch doorzetten. Dwingelandij van Google. Ze denken dat ze overal mee wegkomen.

Het heeft securityvoordelen dezelfde certificaat lang te gebruiken om te voorkomen dat er iemand tussen kan gaan zitten. Ze kunnen beter eerst eens DNSSEC en DANE gaan regelen. Dit is een slechte en niet passende fixpoging.
29-06-2020, 01:47 door johanw
Wat een kul, Google wordt steeds maffer. Wat pas echt onveilig is zijn al die zogenaamde "trusted" root certificaten, die in windows vaak zelfs misbruikt worden door webscan onderdelen van virusscanners, bedrijfs blokkade software en andere malware om verbindingen te onderscheppen.
29-06-2020, 08:21 door Anoniem
Door johanw: Wat een kul, Google wordt steeds maffer. Wat pas echt onveilig is zijn al die zogenaamde "trusted" root certificaten, die in windows vaak zelfs misbruikt worden door webscan onderdelen van virusscanners, bedrijfs blokkade software en andere malware om verbindingen te onderscheppen.

O, nu krijgt Google de schuld van een door Apple ingezette trend. Knap. En Mozilla dan? Mozilla loopt ook aan de leiband van Google?
29-06-2020, 08:40 door Anoniem
Groepen beginnen Facebook e.e.a. al duidelijk te maken, daar lopen kleinere en grotere adverteerders al weg.

Daarom moet Google ook niet denken, dat ze alles maar kunnen maken en overal mee wegkomen. Ze zijn zo daar weer uitgekomen, waar ze begonnen zijn. Niet zo moeilijk in onze onzekere COVID-19 tijden.

Hoogmoed is overal steeds voor de val gekomen en het DARPA & Big Silicon Valley & Forest gebeuren zal daar geen uitzondering op vormen. Alle grote Imperia bestonden maarvoor een paar generaties en kwam het verval en de neergang.

luntrus
29-06-2020, 08:59 door Anoniem
Het lijkt erop dat Google toch wat meer zijn hand in eigen boezem moet steken. Als je zelf grootschalig allerlei data afvangt, al dan niet via beveiligde verbindingen, moet je misschien niet proberen voor anderen te bepalen hoe en wat.
29-06-2020, 09:08 door Anoniem
Door johanw: Wat een kul, Google wordt steeds maffer. Wat pas echt onveilig is zijn al die zogenaamde "trusted" root certificaten, die in windows vaak zelfs misbruikt worden door webscan onderdelen van virusscanners, bedrijfs blokkade software en andere malware om verbindingen te onderscheppen.

Te veel zout in jouw eten is ook onveilig. Maar dat wil niet zeggen dat we een ander probleem niet ook op hoeven te lossen.
29-06-2020, 09:27 door Anoniem
Door johanw: Wat een kul, Google wordt steeds maffer. Wat pas echt onveilig is zijn al die zogenaamde "trusted" root certificaten, die in windows vaak zelfs misbruikt worden door webscan onderdelen van virusscanners, bedrijfs blokkade software en andere malware om verbindingen te onderscheppen.

Je kunt op Google schelden, etc.
Maar Safari (Apple) heeft dit als eerste gedaan, dan maakt het in praktijk niet meer uit wat de rest wil dan kunnen ze ook over op 1 keer per jaar. Want op publieke Internet kun je dan dus al niet langer meer dan 1 jaar.

Waarschijnlijk heeft Apple hier voor gekozen omdat zijn het slechte checken op andere manieren of een certificaat niet toevallig ingetrokken is omdat een private key gestolen is.
29-06-2020, 10:36 door Anoniem

Vervolgens liet Google in maart weten dat de levensduur van certificaten in de "nabije toekomst" naar één jaar zou worden teruggebracht. In het geval Chrome- of Safari-gebruikers straks een website bezoeken die een versleutelde verbinding aanbiedt via een tls-certificaat dat op of na 1 september is uitgegeven, en langer dan 398 dagen geldig is, zullen de browsers een certificaatwaarschuwing laten zien.

Duidelijk, huidige certificaten vallen hier nog niet onder dus.


Ook Mozilla laat weten dat Firefox vanaf 1 september een maximale levensduur van 398 dagen gaat hanteren. Hierop is de titel aangepast.

Ik mis hier nog of Firefox dezelfde check hanteert, dus voor certificaten op of na 1 september uitgegeven. De Git link zegt inderdaad na 31 augustus en dat ze gaan checken of een certificaat langer geldig is dan 395 dagen. Misschien handig dat even erbij zetten!
29-06-2020, 11:28 door Anoniem
En wat voor nut heeft het blokkeren van certs die langer dan 1 jaar geldig zijn?

NUL!

Nadelen:

#1 elke keer certificaten vervangen is nodeloos complex,
#2 kost downtime,
#2 DUUR,
#3 veroorzaakt meer storingen,

Voordelen:
#1 constante cashflow voor bedrijven die certs uitbrengen

Maar gelukkig moet ik nu 5 zinloze kliks doen om mijn eigen UPSen, PDU's, Firewalls, smarthome appliance, al mijn NASsen, enz enz te kunnen beheren...
Internet is er erg veiliger op geworden.. NOT.

#1 Your connection is not private - klik op advanced, klik op proceed to... en dat voor certs die nog tot 2030 geldig zijn.
29-06-2020, 14:00 door Anoniem
Door Anoniem: #1 elke keer certificaten vervangen is nodeloos complex,
Er zijn standaarden en tools om dit te automatiseren
#2 kost downtime,
Het installeren van beveiligingsupdates ook. Daarnaast kan ik mij voorstellen dat je bij het gebruik van een degelijke load balancer je dit probleem niet eens hebt. Niet relevant dus.
#2 DUUR,
Bron? Want hoewel je simpele certificaten bij die grote monopolist gratis kan krijgen, lijkt het mij bij zelfs bij de echte geldtrekkers niet veel verschil te gaan maken. Maar kan ik mis hebben.
#3 veroorzaakt meer storingen,
[citation needed]
#1 Your connection is not private - klik op advanced, klik op proceed to... en dat voor certs die nog tot 2030 geldig zijn.
10 jaar geldig klinkt als zelf uitgegeven certificaten, daar kun je nog steeds mee doen wat je wilt
29-06-2020, 14:50 door Anoniem
Door Anoniem:
Nadelen:

#1 elke keer certificaten vervangen is nodeloos complex,

Of je stapt 1 keer over naar een aanbieder waarbij je de certificaten automatisch kunt verlengen, dat is dan 1 keer tobben
maar daarna gaat het verder vanzelf (zeker als die aanbieder geen domme fouten maakt).
Dan zou je zelfs met een nog kortere levensduur kunnen werken, bijv 2 a 3 maanden.
29-06-2020, 15:43 door Anoniem
Door Anoniem:
Door Anoniem: #1 elke keer certificaten vervangen is nodeloos complex,
Er zijn standaarden en tools om dit te automatiseren
Leuk voor je webserver die aan het Internet hangt. Niet leuk voor je devices intern of appliances zijn.

#2 DUUR,
Bron? Want hoewel je simpele certificaten bij die grote monopolist gratis kan krijgen, lijkt het mij bij zelfs bij de echte geldtrekkers niet veel verschil te gaan maken. Maar kan ik mis hebben.
Die gratiz certificaten zijn leuk, maar voor veel bedrijven niet mogelijk wegen security of intern netwerken of appliances.
Tijd is ook geld dus meer tijd aan iets besteden is duur.

Door Anoniem:
Door Anoniem:
Nadelen:

#1 elke keer certificaten vervangen is nodeloos complex,

Of je stapt 1 keer over naar een aanbieder waarbij je de certificaten automatisch kunt verlengen, dat is dan 1 keer tobben
maar daarna gaat het verder vanzelf (zeker als die aanbieder geen domme fouten maakt).
Dan zou je zelfs met een nog kortere levensduur kunnen werken, bijv 2 a 3 maanden.
Leuk, kan ik die ook op mijn HP printers gebruiken, interne webservers, appliances, ilo/drac devices?
29-06-2020, 16:22 door Anoniem
Dit is hetzelfde als met een papieren paspoort. Die was 5 jaar geldig en is al een tijdje 10 jaar geldig.
Ik zie het probleem niet in dat certificaten langer dan 1 jaar geldig zijn. Als er blijkt dat er wat mis is, dan kan het root ca de certificaten intrekken. En dat doet er niet toe of een certificaat 389 dagen oud is, 2/3/5/10 jaar.
Korter is dus veiliger? Waarom dan niet elke maand vernieuwen???
29-06-2020, 18:41 door Anoniem
Resultaat is dat het makkelijk gebruik steed meer bemoeilijkt word en mensen niet langer van bepaalde diensten gebruikt zullen maken.
30-06-2020, 09:39 door -Peter-
Door Anoniem:
Door Anoniem:
Door Anoniem: #1 elke keer certificaten vervangen is nodeloos complex,
Er zijn standaarden en tools om dit te automatiseren
Leuk voor je webserver die aan het Internet hangt. Niet leuk voor je devices intern of appliances zijn.

Hier worden bijna alle webservers en devices, zoals switches en routers, ook automatisch van Let's Encrypt voorzien.

#2 DUUR,
Bron? Want hoewel je simpele certificaten bij die grote monopolist gratis kan krijgen, lijkt het mij bij zelfs bij de echte geldtrekkers niet veel verschil te gaan maken. Maar kan ik mis hebben.
Die gratiz certificaten zijn leuk, maar voor veel bedrijven niet mogelijk wegen security of intern netwerken of appliances.
Tijd is ook geld dus meer tijd aan iets besteden is duur.[\quote]

Er is tegenwoordig geen verschil meer tussen certificaten van bijvoorbeeld Digicert en Let's Encrypt.

Door Anoniem:
Door Anoniem:
Nadelen:

#1 elke keer certificaten vervangen is nodeloos complex,

Of je stapt 1 keer over naar een aanbieder waarbij je de certificaten automatisch kunt verlengen, dat is dan 1 keer tobben
maar daarna gaat het verder vanzelf (zeker als die aanbieder geen domme fouten maakt).
Dan zou je zelfs met een nog kortere levensduur kunnen werken, bijv 2 a 3 maanden.
Leuk, kan ik die ook op mijn HP printers gebruiken, interne webservers, appliances, ilo/drac devices?

Ja.
Of je moet natuurlijk opgescheept zitten met devices die alleen self-signed certificaten ondersteunen. Anders is er geen verschil.

De huidige (3-jaarlijkse) procedure is vaak zo ingewikkeld dat iemand die niet regelmatig certificaten ververst er niet uitkomt. Er zijn nog steeds (grote) bedrijven waar certificaten verlopen omdat men vergeten is dat over te dragen bij een functiewijziging of ontslag van degene die het 2 jaar geleden deed.

En het verbaast me iedere keer weer dat men Google de schuld geeft van zaken die Apple gestart is. :(

@redactie: Wordt het niet eens tijd om "Fake News" meldingen te plaatsen bij dergelijk commentaat?

Peter
30-06-2020, 10:56 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: #1 elke keer certificaten vervangen is nodeloos complex,
Er zijn standaarden en tools om dit te automatiseren
Leuk voor je webserver die aan het Internet hangt. Niet leuk voor je devices intern of appliances zijn.
Als jij moeite wilt doen en minstens 1 server hebt die WEL aan internet hangt, en controle over je DNS hebt, dan kun je via die server ook certificaten voor andere namen in datzelfde domein aanvragen. Je kunt zelfs een wildcard certificaat aanvragen, hoewel dat beveiligingstechnisch wellicht een slecht idee is.
Je moet natuurlijk nog wel wat regelen om die aangevraagde certificaten weer over te brengen naar de devices waar
ze op moeten. Daar zijn ook wel tools voor.

"niet leuk" is meer afhankelijk van wat je leuk vindt. steeds maar certificaten aanvragen (en betalen) bij officiele uitgevers
en die handmatig downloaden (door allerlei hoepels springend "voor de security") en die gedownloade certificaten weer
moeizaam in een ander format omzetten en handmatig in het apparaat zetten, dat vind IK dan weer "niet leuk".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.