Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Computerbeveiliging - Hoe je bad guys buiten de deur houdt

T-Mobile revoked certificate

Reageer met quote
11-03-2021, 12:57 door Erik van Straten, 22 reacties
In reacties onder https://tweakers.net/nieuws/179090/t-mobile-deelde-herleidbare-locatiegegevens-met-cbs-voor-bouwen-van-algoritme.html wordt verwezen naar een reactie van T-Mobile op hun datalek naar CBS in https://community.t-mobile.nl/nieuws-345/onderzoek-naar-delen-van-klantendata-door-t-mobile-met-cbs-329852.

Echter ik kan https://community.t-mobile.nl/ niet openen in Firefox omdat het (meegestuurde) intermediate certificaat is ingetrokken, zoals te zien is in subpagina's van https://www.ssllabs.com/ssltest/analyze.html?d=community.t-mobile.nl (in zo'n subpagina moet je mogelijk onderaan het blok "Certificate #1: ..." op de knop "Click here to expand" klikken om te zien dat genoemd certificaat is ingetrokken).

Het gaat om het certificaat genaamd "QuoVadis Global SSL ICA G2" met SHA256 hash a4879ec0f36cf84b6f2ed87ae57ee3b94a0785c6862238cd45481084d152eb18, dat volgens https://knowledge.digicert.com/quovadis/ssl-certificates/Intermediate-CA-Revocations-January-2021.html op 14 januari j.l. is ingetrokken.

Security.nl bezoekers: als je zonder certificaatfoutmelding https://community.t-mobile.nl/ kunt openen, wordt het tijd dat je je gaat afvragen of je de juiste browser gebruikt (op tweakers.net zie ik maar 1 persoon hierover klagen).
Gebruikers op mijn Website elke keer hun wachtwoord opnieuw invoeren en geen optie geven om wachtwoord op te slaan.
VK: Delftse quantumpublicatie was slordig, maar geen fraude
Reacties (22)
Reageer met quote
11-03-2021, 13:01 door Erik van Straten
P.S. mede gezien hoe T-Mobile met hun klanten omgaat heb ik geen zin om uit te zoeken hoe ik hen hierop kan wijzen (met een grote kans dat ik mijn tijd verspil - "in Chrome werkt onze site prima").
Reageer met quote
11-03-2021, 13:07 door Anoniem
Wat is nu de link met dit certificaat en het T-Mobile/CBS bericht?

Of zag je daar een post van een tweakers-bezoeker?

Of wilde je zeggen: "Een certificaat van QuoVadis is ingetrokken"?
Reageer met quote
11-03-2021, 13:13 door Anoniem
Hier is ie gesigned met een ander certificaat dan bij jou. Dus ofwel ze hebben dit al opgelost, ofwel er zijn wellicht meerdere alternatieve servers ofzo.
Reageer met quote
11-03-2021, 13:24 door Roger63
Als ik naar de betreffende site ga, zie ik een certificaat met SHA256 hash F6:7C:23:EF:7B:F7:41:28:09:DB:6B:1D:D3:D4:4A:08:D3:75:4D:99:CA:BA:6A:13:F7:A0:5C:72:49:08:9C:89 voor "QuoVadis Global SSL ICA G2". Dat is dus een ander certificaat. De betreffende site loopt via cloudfront. Ik denk dat daar iets niet in de haak is op een of meer servers (wat met goed configuratie management natuurlijk niet mag gebeuren). Met mijn browser (up-to-date Firefox) is niets mis.
Reageer met quote
11-03-2021, 14:51 door Erik van Straten
Door Anoniem: Hier is ie gesigned met een ander certificaat dan bij jou. Dus ofwel ze hebben dit al opgelost, ofwel er zijn wellicht meerdere alternatieve servers ofzo.
Volgens https://www.ssllabs.com/ssltest/analyze.html?d=community.t-mobile.nl gaat het om (alle?) 12 servers die een ingetrokken certificaat versturen.

Door Roger63: Als ik naar de betreffende site ga, zie ik een certificaat met SHA256 hash F6:7C:23:EF:7B:F7:41:28:09:DB:6B:1D:D3:D4:4A:08:D3:75:4D:99:CA:BA:6A:13:F7:A0:5C:72:49:08:9C:89 voor "QuoVadis Global SSL ICA G2". Dat is dus een ander certificaat. De betreffende site loopt via cloudfront. Ik denk dat daar iets niet in de haak is op een of meer servers (wat met goed configuratie management natuurlijk niet mag gebeuren). Met mijn browser (up-to-date Firefox) is niets mis.
Ik heb verder gepuzzeld: het lijkt er sterk op dat, als Firefox een geldig intermediate certificaat in z'n cache heeft, het meegezonden (ingetrokken) certificaat wordt genegeerd.

Als test heb ik uit https://knowledge.digicert.com/quovadis/ssl-certificates/Intermediate-CA-Revocations-January-2021.html de nieuwe "QuoVadis Global SSL ICA G2" gedownload (directe link: http://trust.quovadisglobal.com/qvsslg2.crt) gedownload (SHA256: f67c23ef7bf7412809db6b1dd3d44a08d3754d99caba6a13f7a05c7249089c89). Deze heb ik geïmporteerd in Android. In Firefox Nightly (waarin https://community.t-mobile.nl/ ook een foutmelding gaf) heb ik vervolgens, in about:config, "security.enterprise_roots.enabled" op True gezet. Daarna opende https://community.t-mobile.nl/ inderdaad zonder foutmeldingen (alleen in FF Nightly, de "gewone" Firefox geeft nog steeds een foutmelding).

Lessons learned:
1) Browsers (alle?) lijken meegestuurde revoked certs te negeren als een niet-revoked vervanger in hun cache zit;
2) Check je https servers regelmatig met een "clean" browser (account) om dit soort issues op te merken;
3) "QuoVadis Global SSL ICA G2" is opnieuw uitgegeven met ongewijzigde public key (wat was er mis met het oude cert?).

@Roger63: zou je, ter bevestiging, dat nieuwe intermediate certificaat uit de browser-cache kunnen halen (voor zover ik weet kan dit niet met Firefox mobile), de browser stoppen en starten, en kijken of je dan nog steeds zonder foutmelding https://community.t-mobile.nl/ kunt openen?
Reageer met quote
11-03-2021, 14:57 door Anoniem
Door Erik van Straten: P.S. mede gezien hoe T-Mobile met hun klanten omgaat heb ik geen zin om uit te zoeken hoe ik hen hierop kan wijzen (met een grote kans dat ik mijn tijd verspil - "in Chrome werkt onze site prima").
Toch een dergelijke opmerking: ik probeerde het net in Firefox en kreeg geen foutmelding.

Het kan zinvol zijn om je browsercache te schonen of een reload met de SHIFT-toets ingedrukt te doen. Mij staat bij dat ik in het verleden heb meegemaakt dat Firefox responses waar het foutmeldingen aan kopelde in de cache opsloeg en bleef laten zien nadat de fout feitelijk al niet meer van toepassing was. Het kan het proberen waard zijn.
Reageer met quote
11-03-2021, 15:58 door Anoniem
Zojuist een schone VM aangemaakt, firefox-esr gestart en naar de URL gegaan. Geen probleem gezien en gewoon een geldig certificaat.
Reageer met quote
11-03-2021, 16:34 door Roger63
@Roger63: zou je, ter bevestiging, dat nieuwe intermediate certificaat uit de browser-cache kunnen halen (voor zover ik weet kan dit niet met Firefox mobile), de browser stoppen en starten, en kijken of je dan nog steeds zonder foutmelding https://community.t-mobile.nl/ kunt openen?
Ik heb in Firefox 86.0 bij Clear Recent History alles weggegooid (alle vinkjes aan en Everything geselecteerd als time range; ruimt lekker op) en ben daarna naar de site gegaan: geen foutmelding. In de certificate viewer (Certainly Something extensie) zie ik het nieuwe intermediate certificaat en niet het gerevokete exemplaar dat in Firefox zelf zit.
Reageer met quote
11-03-2021, 18:01 door Anoniem
Ik krijg het volgende resultaat
HTTPS://COMMUNITY.T-MOBILE.NL/ Domain Reputation Stats

Validation Test
Can this domain receive email messages? NOT VALID
Disposable Email Domain
Does this domain host disposable emails commonly used by fraudsters? CLEAN
Popular Email Service Provider
Is this domain a common mail provider like gmail.com, yahoo.com, hotmail.com, outlook.com, etc.? NO
Threat & Risk Score - Is Https://community.t-mobile.nl/ safe?
Analyze the risk level for email addresses hosted by this domain. CLEAN
Domain Rank
Popularity rank of the domain based on web traffic. This domain is not currently ranked due to low traffic volume.
DNS MX Records
Current MX records listed for this domain.

No MX records detected! This domain cannot receive emails.

En weer zit Amazon er vuistdiep in kennelijk:
https://sitereport.netcraft.com/?url=https%3A%2F%2Fcommunity.t-mobile.nl%2F
Geldigheidsduur: From Feb 25 2020 to Feb 25 2022 (24 months)
Certificaatherroepingslijst van: http://crl.quovadisglobal.com/qvsslg2.crl
Zie certificaat tranperency (3 partijen) DigiCert, Sectigo Mammoth en het niet te vermijden Google Rocketeer.

Tracking gebeurt via ompany Primary Category Tracker
Amazon CDN Cloudfront
Google Analytics Googletagmanager

luntrus
Reageer met quote
11-03-2021, 19:35 door Anoniem
In Safari is die site gewoon te openen (alles up-to-date).

Opvallend genoeg geeft ook https://crt.sh/?caid=1368 alleen een revoked aan op heel specifiek e-mail.
Reageer met quote
11-03-2021, 20:54 door Anoniem
Zojuist nog even Firefox 86.0 (Linux) getest maar ook niet kan ik het niet reproduceren.
Reageer met quote
11-03-2021, 21:55 door Erik van Straten
Allen dank voor de reacties! Na verder onderzoek kom ik tot de volgende conclusies:
1) https://community.t-mobile.nl/ stuurt wel degelijk een revoked intermediate certificate mee;

2) Er zijn veel meer servers dan genoemd in https://www.ssllabs.com/ssltest/analyze.html?d=community.t-mobile.nl (ik kon sowieso 12 unieke IPv4 en 24 unieke IPv6 adressen vinden, indien gewenst post ik de adressen). Ik heb ze niet allemaal getest, maar vermoed dat ze allemaal dat revoked intermediate certificate meesturen;

3) Het feit dat tweaker "dutchminator" in https://tweakers.net/nieuws/179090/t-mobile-deelde-herleidbare-locatiegegevens-met-cbs-voor-bouwen-van-algoritme.html?showReaction=15760826#r_15760826 en ssllabs (naast mij) ook certificate errors zien, betekent dat het niet alleen een probleem bij mij is;

4) Kennelijk checkt Firefox desktop intermediate certs niet op revocation, Firefox voor Android doet dat kennelijk wel (daarom kreeg en krijg ik een foutmelding op mijn smartphone). Mijn excuses voor het feit dat ik ervan uitging dat ook Firefox desktop dat zou doen (ik vind het teleurstellend dat dit niet zo is, en ook kon ik er geen about:config instelling voor vinden). Ook had ik beter meteen kunnen melden dat ik Firefox op Android gebruikte, maar dit verschil verwachtte ik niet;

5) Als in Firefox voor Android (in elk geval de nightly versie) het nieuwe intermediate certificaat "voorbijkomt" zal ook deze versie van Firefox dat certificaat cachen, waarna een door de server meegestuurde (ingetrokken) versie van het certificaat wordt genegeerd en er geen foutmelding meer optreedt;

6) Op de volgende pagina's kun je respectievelijk het ingetrokken en het nieuwe intermediate certificaat bekijken:
https://de.ssl-tools.net/certificates/6036330e1643a0cee19c8af780e0f3e8f59ca1a3.txt
https://de.ssl-tools.net/certificates/15342bbb20b25efb48fda23b7b1fe5550b9560da.txt
Naast het serienummer zijn dit de belangrijkste verschillen:
Oud: Not Before: Jun 1 13:35:05 2013 GMT
Nieuw: Not Before: Sep 22 19:15:59 2020 GMT

Toegevoegd aan nieuw, onder "X509v3 Certificate Policies:"
CPS: https://www.quovadisglobal.com/repository

Toegevoegd aan nieuw:
X509v3 Extended Key Usage:
TLS Web Client Authentication, TLS Web Server Authentication
Vermoedelijk is het certificaat opnieuw uitgegeven omdat de "Extended Key Usage" gegevens ontbraken (de public key is hetzelfde gebleven, anders had het servercertificaat ook vervangen moeten worden). Er lijkt dus geen sprake van een beveiligingsprobleem met het oude certificaat.

Door Anoniem: Zojuist een schone VM aangemaakt, firefox-esr gestart en naar de URL gegaan. Geen probleem gezien en gewoon een geldig certificaat.
Onder Windows heb ik Firefox ESR 78.8.0esr (64-bit) gestart met de commandline parameter -P en een nieuw profiel aangemaakt. Daarna heb ik https://community.t-mobile.nl/ geopend, dit gaf inderdaad geen foutmelding. Echter, het intermediate certificaat is wel degelijk het ingetrokken certificaat:

  Serial Number: 48:98:2D:E2:A9:2C:B3:39:E1:C8:F9:33:35:82:75:D3:E4:F8:82:55
  SHA256: A4:87:9E:C0:F3:6C:F8:4B:6F:2E:D8:7A:E5:7E:E3:B9:4A:07:85:C6:86:22:38:CD:45:48:10:84:D1:52:EB:18

Als ik vanuit mijn gebruikelijke Firefox profiel https://community.t-mobile.nl/ open, zie ik voor het intermediate certificaat:

  Serial Number: 1A:6E:E8:93:C3:74:97:38:E1:2A:CC:C7:7A:8C:0A:CB:16:7E:AF:14
  SHA-256: F6:7C:23:EF:7B:F7:41:28:09:DB:6B:1D:D3:D4:4A:08:D3:75:4D:99:CA:BA:6A:13:F7:A0:5C:72:49:08:9C:89

maar dat is niet het certificaat dat door de server wordt meegestuurd (dat kan ik zien in Wireshark als ik TLS v1.3 uitzet in Firefox), dus kennelijk is het nieuwe certificaat door een andere site aan de certificate store in mijn gangbare profiel van Firefox toegevoegd (in de file "cert9.db" in dat profiel).

Door Roger63: Ik heb in Firefox 86.0 bij Clear Recent History alles weggegooid (alle vinkjes aan en Everything geselecteerd als time range; ruimt lekker op) en ben daarna naar de site gegaan: geen foutmelding. In de certificate viewer (Certainly Something extensie) zie ik het nieuwe intermediate certificaat en niet het gerevokete exemplaar dat in Firefox zelf zit.
Dank ook voor jouw hulp! Helaas verwijder je geen intermediate certificaten met het leeghalen van de browser cache. Sterker, het lukt mij niet eens om in mijn profiel "QuoVadis Global SSL ICA G2" (een "Software Security Device") te verwijderen (als ik een nieuw profiel in Firefox aanmaak, bestaat dat niet). D.w.z. dat verwijderen lijkt te lukken, maar als ik opnieuw de certificate manager in Firefox open, is dat certificaat weer terug.

Conclusie: https://community.t-mobile.nl/ stuurt een revoked intermediate certificaat mee, maar Firefox desktop checkt niet op revocation daarvan (Firefox voor Android wel). En als je toevallig een latere versie van een intermediate certificaat in de certificate store hebt, gebruikt Firefox dat en negeert kennelijk het meegestuurde intermediate certificaat.
Reageer met quote
12-03-2021, 09:24 door Briolet
Door Erik van Straten:   Serial Number: 1A:6E:E8:93:C3:74:97:38:E1:2A:CC:C7:7A:8C:0A:CB:16:7E:AF:14
  SHA-256: F6:7C:23:EF:7B:F7:41:28:09:DB:6B:1D:D3:D4:4A:08:D3:75:4D:99:CA:BA:6A:13:F7:A0:5C:72:49:08:9C:89

Als ik met Safari 13.1 kijk, zie ik ook dit intermediate certificaat. Safari slaat zelf geen certificaten op, maar doet het certificaatbeheer via het os. (Net als chrome op de mac)
Reageer met quote
12-03-2021, 11:57 door Erik van Straten
Door Briolet:
Door Erik van Straten:   Serial Number: 1A:6E:E8:93:C3:74:97:38:E1:2A:CC:C7:7A:8C:0A:CB:16:7E:AF:14
  SHA-256: F6:7C:23:EF:7B:F7:41:28:09:DB:6B:1D:D3:D4:4A:08:D3:75:4D:99:CA:BA:6A:13:F7:A0:5C:72:49:08:9C:89

Als ik met Safari 13.1 kijk, zie ik ook dit intermediate certificaat. Safari slaat zelf geen certificaten op, maar doet het certificaatbeheer via het os. (Net als chrome op de mac)
Dan was de nieuwe versie van dit certificaat ook bij jou kennelijk al gecached (in een "dynamisch" deel van de certificate store) in het OS.

Door Anoniem: Opvallend genoeg geeft ook https://crt.sh/?caid=1368 alleen een revoked aan op heel specifiek e-mail.
Vermoedelijk bedoel je browser (i.p.v. e-mail), maar dank voor deze link! Volgens https://crt.sh/?caid=1368 zou alleen Firefox dit ingetrokken certificaat blokkeren op basis van "OneCRL" - maar in elk geval Firefox ESR (desktop) doet dat niet (bij mij en bij Anoniem van gisteren 15:58).

Opmerkelijk: in https://crt.sh/?id=2488230 is te zien dat hetzelfde certificaat ook door Google's "CRLSet/Blocklist" wordt geblokkeerd - maar welke browsers die lijst gebruiken, weet ik niet.

Ik heb me wat verder ingelezen: Mozilla heeft OneCRL in 2015 geïntroduceerd om revoked intermediate certificaten mee te blokkeren. In https://crt.sh/mozilla-onecrl zie je alle geblokkeerde certificaten in een recente versie van het OneCRL bestand.

Redelijk nieuw is CRLite waarmee sterk gecomprimeerde blocklists zijn te maken (zie https://obj.umiacs.umd.edu/papers_for_stories/crlite_oakland17.pdf en https://blog.mozilla.org/security/2020/12/01/crlite-part-4-infrastructure-design/).

Ik heb geen idee of CRLite op dit moment al wordt gebruikt in Firefox ESR, noch of deze OneCRL aanvult (tevens gebruikt wordt) of vervangt. Weet iemand meer hierover?
Reageer met quote
14-03-2021, 16:56 door Erik van Straten - Bijgewerkt: 14-03-2021, 17:05
Ik heb verder onderzoek gedaan. Firefox toon geen certificaatfoutmelding als je https://community.t-mobile.nl/ opent:
1) Als de nieuwe versie van het ingetrokken intermediate certificaat al in de certificate store (cache) zit. Zo niet:
2) Als het OneCRL bestand nog niet is gedownload; het downloaden daarvan gebeurt pas enkele minuten na het aanmaken van een Firefox profiel (daarom zie je geen foutmelding als je Firefox in een VM installeert en/of een nieuw profiel aanmaakt en https://community.t-mobile.nl/ meteen opent).

Punt 2 geldt in elk geval voor Firefox ESR (desktop) als Firefox Nightly op Android.

Of dat "OneCRL" bestand is al gedownload, kun je zien in about:config door te filteren op "onecrl": zolang de variabele "services.settings.security.onecrl.checked" de waarde 0 heeft, is dat bestand nog niet gedownload. Onder Windows is er dan een bestand (momenteel minstens 731kB):
  C:\Users\<account>\AppData\Roaming\Mozilla\Firefox\Profiles\<profile-ID>\security_state\data.safe.bin

In mijn gebruikelijke profiel was dat bestand ruim 4MB groot en bevatte kennelijk ook een volledige kopie van het nieuwe intermediate certificaat, want ook na het verwijderen van "cert9.db" [*] bleef Firefox dat gebruiken en gaf geen foutmelding als ik https://community.t-mobile.nl/ opende. Na het verwijderen van zowel "cert9.db" als "security_state\data.safe.bin" lukte het mij niet om binnen enkele minuten Firefox te dwingen om een nieuwe versie van OneCRL ("data.safe.bin") te downloaden, ook niet door het op 0 zetten van timers in "about:config" gefilterd op "crl". Wat wel werkte is het downloaden van dat "security_state\data.safe.bin" bestand in een nieuw profiel, en dat kopiëren naar bovengenoemde map in mijn profiel. Voor de zekerheid heb ik ook weer "cert9.db" verwijderd en daarna Firefox opnieuw gestart: nu krijg ik ook in mijn gebruikelijke profiel een certificaatfoutmelding als ik https://community.t-mobile.nl/ open.

[*] Firefox maakt een schone versie hiervan automatisch aan bij opstarten. Verwijderen van bestanden moet je natuurlijk doen als Firefox niet draait. Mocht je dit soort experimenten willen doen, maak dan eerst een voledige back-up van alle bestanden in jouw profiel.

Terzijde:
- CRLite lijkt nog niet actief te worden ondersteund (Firefox mobile en desktop ESR): security.pki.crlite_mode heeft de waarde 1. Volgens https://blog.mozilla.org/security/2020/01/09/crlite-part-2-end-to-end-design/ is dat alleen voor telemetrie. Volgens die pagina ondersteunt CRLite geen CA's die geen CRL's uitgeven, waaronder Let's Encrypt.

- Standaard checkt Firefox alleen nog maar server EV-certificaten op revocation, je kunt dit zien door te openen:
  - Check op ingetrokken DV (Domain Validated) certificaat: https://revoked-rsa-dv.ssl.com/
  - Check op ingetrokken EV (Extended Validation) certificaat: https://revoked-rsa-ev.ssl.com/
Meer info: https://www.ssl.com/nl/blogs/hoe-gaan-browsers-om-met-ingetrokken-SSL-TLS-certificaten/.
Je kunt in Firefox OCSP-checks voor alle server-certificaten afdwingen door in "about:config" de instelling "security.OCSP.enabled" de waarde 1 (default 2) te geven. Door "security.OCSP.require" de waarde "True" te geven zal Firefox een foutmelding geven als de OCSP-server onbereikbaar is. Helaas kan dit op Android alleen bij Firefox Nightly; in de "gewone" Firefox voor Android heb je geen toegang tot "about:config".

Kortom, een Firefox gebruiker met een bestaand profiel, die niet toevallig het nieuwe intermediate certificaat in de certificate store heeft, zal een certificaatfoutmelding krijgen zodra deze https://community.t-mobile.nl/ opent.
Reageer met quote
14-03-2021, 18:20 door Anoniem
Misschien ten overvloede, maar er bestaat (ook) een certificaat-checker op
https://check-ocsp.quovadisglobal.com/
Als ik daar het serienummer van het betreffende intermediate certificaat (copy-paste) invul en op "check OCSP" klik,
blijkt het zonder twijfel een revoked certificaat te zijn.

Ik denk dat het volgende 'nieuws' van een maand of 4 geleden ermee heeft te maken dat we geen error (in Firefox) zien:
https://blog.mozilla.org/security/2020/11/13/preloading-intermediate-ca-certificates-into-firefox/
Reageer met quote
14-03-2021, 18:20 door Anoniem
@Erik

Goed werk, nu met een schone Linux VM en gewacht tot services.settings.security.onecrl.checked een waarde != 0 had en dan krijg ik ook de SEC_ERROR_REVOKED_CERTIFICATE op Firefox 86.0

Het zelfde spelletje op Firefox-esr 78.8 met het zelfde resultaat.


Ik moest overigens wel een dikke 10 minuten wachten voordat FF dat ONECRL bestand gedownload had.

Het data.safe.bin bestand is in mijn laatste geval 571801 bytes groot en staan in $HOME/.mozilla/firefox-esr/$profile-name-esr78/security_state
Reageer met quote
14-03-2021, 20:49 door Anoniem
Je kunt in Firefox OCSP-checks voor alle server-certificaten afdwingen door in "about:config" de instelling "security.OCSP.enabled" de waarde 1 (default 2) te geven. Door "security.OCSP.require" de waarde "True" te geven zal Firefox een foutmelding geven als de OCSP-server onbereikbaar is. Helaas kan dit op Android alleen bij Firefox Nightly; in de "gewone" Firefox voor Android heb je geen toegang tot "about:config".

Als we dan toch met OCSP bezig zijn:

In geval van "security.OCSP.enabled":
= 0: maak geen gebruik van OCSP (maakt het snelst verbinding, maar is riskanter, tenzij je gebruik maakt van OCSP-stapling van bezochte server waarbij je dan wel zeker moet weten dat de bezochte server OCSP-stapling ondersteunt)
= 1: fetch OCSP for DV and EV certificates (altijd certificaatcontrole bij https)
= 2: fetch OCSP only for EV certificates (uitblijven van OCSP-controle leidt tot iets sneller contact met meestal minder belangrijke servers die geen EV-certificaat gebruiken, maar controleert bijv. in de meeste gevallen wel sites waarmee je doorgaans altijd gevoelige informatie uitwisselt, zoals bijv. je bank (d.w.z.: sites met een EV-certificaat!)

> security.ssl.enable_ocsp_stapling = true : maakt voor OCSP-controle gebruik van de server die je bezoekt
(= privacyvriendelijker, maar werkt alleen als de server die je bezoekt OCSP-stapling ondersteunt!)
> security.ssl.enable_ocsp_stapling = false : maakt nooit gebruik van OCSP via de server die je bezoekt.

> security.ssl.enable_ocsp_must_staple= true : vereist correcte respons van de server bij gebruik van stapling
(waarschuwing bij geen correcte OCSP respons)
> security.ssl.enable_ocsp_must_staple= false : vereist geen correcte respons bij gebruik van stapling via de server
(dus geen waarschuwing als er geen correcte OCSP-respons van de server komt, en alles gaat verder gewoon door)


(correct me if I'm wrong, en vul eventueel aan wat nog ontbreekt)
Reageer met quote
15-03-2021, 07:43 door Anoniem
Door Anoniem:

Ik denk dat het volgende 'nieuws' van een maand of 4 geleden ermee heeft te maken dat we geen error (in Firefox) zien:
https://blog.mozilla.org/security/2020/11/13/preloading-intermediate-ca-certificates-into-firefox/

Dat denk ik niet aangezien de -ESR versies het zelfde gedrag vertonen.
Reageer met quote
15-03-2021, 09:43 door Erik van Straten - Bijgewerkt: 15-03-2021, 09:53
@Anoniem gisteren 20:49: dank voor de OCSP aanvullingen!

Door Anoniem, de 1e van gisteren 18:20: Ik denk dat het volgende 'nieuws' van een maand of 4 geleden ermee heeft te maken dat we geen error (in Firefox) zien: https://blog.mozilla.org/security/2020/11/13/preloading-intermediate-ca-certificates-into-firefox/
Ah, ook dat wist ik nog niet, dank voor deze link! Dit verklaart ook waarom ik de nieuwe versie van het certificaat terugvond in het "data.safe.bin" bestand in mijn gebruikelijke Firefox profiel onder Windows, en geen foutmelding kreeg bij het openen van de T-Mobile community site. Overigens lijkt het erop dat de in Firefox ingebouwde certificate manager (sowieso een onding) preloaded intermediate certificaten (kennelijk toegevoegd aan "data.safe.bin") negeert.

Aanvulling: wellicht maakt Firefox voor Android nog geen gebruik van de techniek om intermediate certificaten te preloaden (in aanvulling op de OneCRL techniek voor het blocklisten van ingetrokken certificaten, iets dat duidelijk wel door Firefox voor Android wordt gebruikt). Dat zou verklaren waarom ik met Firefox op mijn Android smartphone (een browser die ik veel gebruik) wel een certificate-error kreeg en in Firefox onder Windows niet.

Door Anoniem, de 2e van gisteren 18:20: Goed werk, nu met een schone Linux VM en gewacht tot services.settings.security.onecrl.checked een waarde != 0 had en dan krijg ik ook de SEC_ERROR_REVOKED_CERTIFICATE op Firefox 86.0

Het zelfde spelletje op Firefox-esr 78.8 met het zelfde resultaat.

Ik moest overigens wel een dikke 10 minuten wachten voordat FF dat ONECRL bestand gedownload had.

Het data.safe.bin bestand is in mijn laatste geval 571801 bytes groot en staan in $HOME/.mozilla/firefox-esr/$profile-name-esr78/security_state
Dank voor jouw testwerk en de bevestiging van mijn bevindingen! De vraag is nu hoe lang we moeten wachten tot Firefox de nieuwe versie van het intermediate QuoVadis certificaat heeft "gepreload".

Al met al maken deze trucs van Mozilla het foutzoeken er niet gemakkelijker op, en ook is dit niet motiverend voor serverbeheerders om het juiste intermediate certificaat mee te sturen. Het is in elk geval geen goed idee om met jouw eigen browser te checken of jouw webserver goed geconfigureerd is. Advies: gebruik daarvoor een site als ssllabs.com!
Reageer met quote
15-03-2021, 14:34 door Anoniem
@Anoniem gisteren 20:49: dank voor de OCSP aanvullingen!
Ik dank jou, omdat het me aanspoorde om te vinden wat ik zelf al een hele tijd nog maar half begreep.
En ik dank security.nl, omdat het hier nu kort maar krachtig op een rijtje mag staan.

Aanvulling: wellicht maakt Firefox voor Android nog geen gebruik van de techniek om intermediate certificaten te preloaden
Dat klopt! Mozilla schrijft er o.a. dit over:
Currently preloading is only enabled for desktop users.
We will want to restrict the download to be only over WiFi before enabling on mobile.
(dit en meer over intermediate certificate preloading op:
https://wiki.mozilla.org/Security/CryptoEngineering/Intermediate_Preloading)

07:43 door Anoniem: Dat denk ik niet aangezien de -ESR versies het zelfde gedrag vertonen.
Uit de zonet laatstgenoemde url hier direct boven blijkt dat de nieuwe methode is geïntroduceerd in Firefox 75.
De momenteel meest recente ESR-versie is gebaseerd op Firefox 78.
78 komt na 75, dus het klinkt logisch dat de huidige ESR-versies hetzelfde reageren als de niet-ESR versies sinds versie 75. Maar de oudere 68.x ESR versies zouden dit gedrag niet moeten vertonen.
Reageer met quote
20-03-2021, 19:35 door Anoniem
Geachte lezers van postings in deze draad,

In de volgende draad (zie onderstaande link) reageerde Erik van Straten ook met een verwijzing naar de draad hier:
https://www.security.nl/posting/695566/Internet_nl+biedt+verbeterde+testen+voor+TLS+en+Content+Security+Policy

Ik verwijs hier met name naar om het hele verhaal onder een en dezelfde noemer te houden en mede als 'kruis-verwijzing'.
Nogmaals dank aan Erik van Straten voor de "heads-up" aangaande revocatie in samenhang met de missers in scans.

Ga nooit zonder meer uit van de validiteit van bepaalde scan-resultaten,
zonder dat je dit zelf buiten twijfel meent te hebben vastgesteld.

Hierboven is dat wel weer een keertje ondubbelzinnig bewezen. QED.
De houding hierin van Erik van Straten meen ik de juiste te zijn.

luntrus
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search
Vacature
Vacature

Security consultant

Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!

Lees meer

Poll: Controle thuiswerker met behulp van monitoring software:

16 reacties
Aantal stemmen: 772
Certified Secure LIVE Online training
Pleeg je handel in voorkennis als je doet alsof je voorkennis verkoopt op het dark web?
07-04-2021 door Arnoud Engelfriet

Juridische vraag: Ik las dat in de VS een meneer aangeklaagd wordt voor handel in voorkennis, omdat hij op het dark web ...

5 reacties
Lees meer
Datalek bij nieuwbouw
13-04-2021 door Anoniem

In de randstand was het begin deze maand mogelijk om je in te schrijven voor een loting van 28 nieuwbouw huizen. Om zo ...

14 reacties
Lees meer
Beste manier om een wachtwoord te bewaren?
09-04-2021 door EenVraag

Iemand enig idee wat de beste manier is om een wachtwoord te bewaren?

17 reacties
Lees meer
Datakluis als gouden kogel tegen datalekken?
15-04-2021 door Anoniem

Bij een webwinkel waar net een datalek is geweest staat de volgende tekst op de site Welke maatregelen neemt X om herhaling ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter