image

Chrome krijgt binnenkort eigen Root Store voor tls-certificaten

zondag 1 november 2020, 09:40 door Redactie, 8 reacties

Google Chrome krijgt binnenkort een eigen Root Store voor certificaten, net zoals bij Mozilla Firefox het geval is, zo heeft het Chrome-team aangekondigd. Dit moet voor een "consistente ervaring" op verschillende platformen zorgen, aldus het team.

Dat blijkt uit een Chromium-pagina waarvan het bestaan via Reddit bekend werd. De Root Store bevat de rootcertificaten van vertrouwde certificaatautoriteiten. Chrome zal bij het opzetten van een beveiligde verbinding met een website via de Root Store controleren of het door de website aangeboden tls-certificaat van een vertrouwde certificaatautoriteit afkomstig is. Is het certificaat niet afkomstig van een certificaatautoriteit die in de Root Store is te vinden dan geeft de browser een certificaatwaarschuwing.

Op dit moment maakt Chrome gebruik van de Root Store die door het onderliggende besturingssysteem wordt aangeboden. Dat zal binnenkort gaan veranderen, want Google gaat een eigen Root Store voor Chrome implementeren, wat voor zowel ontwikkelaars als gebruikers voor een consistente ervaring op de verschillende platformen moet zorgen, zo stelt het Chrome-team. Alleen in het geval van Chrome voor iOS zal Googles browser geen eigen Root Store gebruiken, aangezien Apple dit niet toestaat.

Mozilla maakt voor Firefox al gebruik van een eigen Root Store en de vereisten zullen dan ook voor de meeste certificaatautoriteiten bekend zijn, zo laat het Chrome-team weten. Wanneer de eigen Root Store precies wordt doorgevoerd is nog niet bekendgemaakt.

Reacties (8)
01-11-2020, 09:46 door Tintin and Milou
Was het juist niet zo, dat firefox ook de mogelijkheid heeft om de Windows store te gebruiken via bepaalde settings?
Scheelde een hoop certificaat ellende, omdat je dit nu centraal gemakkelijk kan beheren op een Windows omgeving.
Hopelijk heeft chrome ook deze mogelijkheid, zodat we niet nog meer certificaat ellende moeten onderhouden.
01-11-2020, 10:11 door Anoniem
Next up: proxy tabje.

Zo irritant dat je die niet in de interface kunt aanpassen, los van het OS.
01-11-2020, 11:29 door Anoniem
Het ligt er maar aan hoe je "een consistente ervaring" (afschuwelijke paarse-broeken taal overigens) definieert.
Het gebruik maken van de certificate store van het onderliggende operating system (voor zover aanwezig) garandeert
juist een consistente ervaring tussen de verschillende browsers op dezelfde machine. Door een eigen store te beginnen
ga je een inconsistente ervaring opzetten doordat bijvoorbeeld bepaalde certificaten in de ene store wel en de andere
store niet aanwezig zijn.

Ik denk dan ook dat dit niets met "een consistente ervaring" te maken heeft en alles met het zelf willen bepalen wat wel
en niet een vertrouwd certificaat is. Je moet natuurlijk niet hebben dat je als Google afhankelijk bent van wat Microsoft
een vertrouwd root certificaat vindt.
01-11-2020, 11:55 door Anoniem
Toch een opmerkelijke wending. Chrome koos er altijd voor om de root store van het besturingssysteem te gebruiken (Microsoft op Windows, Mozilla op Linux, Apple op Mac?). Het lijkt er op dat Google vooral een grotere vinger in de pap wil bij discussies over het Web PKI (de certificaten handel). Daar heeft het nu alleen als webbrowser iets te zeggen, maar kan die eigen mening niet doordrukken omdat het altijd afhankelijk is van de root store van anderen. Daar gaat dus nu verandering in komen. Eerder was het Apple al die eenzijdig de levensduur verkortte naar 1 jaar, waarna de rest van het ecosysteem niet heel veel keuze had om daar in mee te gaan. Google plaatst zich nu in precies dezelfde positie om dat ook te kunnen. Zorgwekkend. Laten we hopen dat DANE nog een keer een reeel alternatief gaat worden, dan omzeilen we de politieke machtspelletjes van eerst Apple en straks Google.

Door Tintin and Milou: Was het juist niet zo, dat firefox ook de mogelijkheid heeft om de Windows store te gebruiken via bepaalde settings?
Scheelde een hoop certificaat ellende, omdat je dit nu centraal gemakkelijk kan beheren op een Windows omgeving.
Hopelijk heeft chrome ook deze mogelijkheid, zodat we niet nog meer certificaat ellende moeten onderhouden.
Dat klopt, in Firefox kan dat via de "security.enterprise_roots.enabled" toggle. Echter lijkt mij dat alleen van toepassing op root certificaten die zelf zijn toegevoegd, niet per se Microsofts eigen root store certificaten. Het lijkt mij voor de hand liggen dat Google hetzelfde mogelijk maakt voor Chrome via bijvoorbeeld een Group Policy.
01-11-2020, 13:26 door Briolet
Alleen in het geval van Chrome voor iOS zal Googles browser geen eigen Root Store gebruiken, aangezien Apple dit niet toestaat.

Vreemd. Waarom verbied Apple dit voor iOS en niet voor macOS?

Net als anoniem 11:29 vind ik dat hier juist de consistentie verloren gaat. Ik ben blij dat Chrome nu nog de certificaten raadpleegt via macOS. Dan hoef ik slechts op één plek mijn certificaat instellingen aan te passen. Ik vind het nu al vervelend dat Firefox het systeem ook al niet gebruikt voor de certificaten. (Hoewel ik hierboven lees dat ik dat met "security.enterprise_roots.enabled" misschien kan aanpassen.
01-11-2020, 14:50 door Anoniem
Door Briolet: Vreemd. Waarom verbied Apple dit voor iOS en niet voor macOS?
Omdat Apple op iOS geen andere webbrowser toestaat dan Safari. Zowel Firefox als Chrome zijn alleen een schil om Safari heen.
01-11-2020, 20:52 door Briolet
Door Anoniem: …Zowel Firefox als Chrome zijn alleen een schil om Safari heen.

Dank, weer wat geleerd.
02-11-2020, 09:01 door Bitje-scheef
Ik zie een exploit aankomen...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.