image

Google verwijdert certificaatautoriteit TrustCor uit Chrome Root Store

zaterdag 14 januari 2023, 08:55 door Redactie, 17 reacties

Google gaat certificaatautoriteit TrustCor wegens veiligheidsredenen uit de Chrome Root Store verwijderen. Chrome-gebruikers krijgen vanaf maart een waarschuwing als ze websites bezoeken die gebruikmaken van certificaten uitgegeven door TrustCor. Eerder kondigden ook Mozilla en Microsoft maatregelen aan.

Aanleiding om het vertrouwen in de certificaatautoriteit op te zeggen zijn de nauwe banden tussen TrustCor en Measurement Systems, een bedrijf dat Androidmalware verspreidt. Vorig jaar november lieten onderzoekers en de Wall Street Journal weten dat TrustCor en Measurement Systems nauw verweven met elkaar zijn en onder andere kantoorruimte, technische voorzieningen en personeel deelden. Het in Panama gevestigde Measurement Systems heeft weer banden met Packet Forensics, dat afluisterdiensten aan het Amerikaans leger leverde.

Onderzoekers ontdekten begin 2022 dat Measurement Systems softwareontwikkelaars betaalde voor het toevoegen van malware aan hun apps, die persoonlijke informatie van gebruikers terugstuurde, waaronder telefoonnummers, e-mailadres en exacte locatie. De betreffende apps zijn vermoedelijk meer dan zestig miljoen keer gedownload, waaronder tien miljoen downloads voor een gebeds-app voor moslims. Nadat de onderzoekers hun bevindingen met Google deelden werden de apps uit de Play Store verwijderd.

Naast Google werd ook Mozilla ingelicht over de connectie tussen Measurement Systems en TrustCor. De laatstgenoemde is zoals gezegd een rootcertificaatautoriteit. Browsers en besturingssystemen vertrouwen tls-certificaten, die websites voor een versleutelde verbinding gebruiken, alleen als ze het rootcertificaat vertrouwen waaronder het tls-certificaat is uitgegeven. Is het certificaat niet afkomstig van een certificaatautoriteit die in de root store is te vinden dan geeft de browser een certificaatwaarschuwing.

Er zijn geen aanwijzingen dat TrustCor malafide tls-certificaten heeft uitgegeven, waarmee het bijvoorbeeld mogelijk is om verkeer van internetgebruikers via een man-in-the-middle-aanval te onderscheppen. Toch zijn de banden tussen de certificaatautoriteit en Measurement Systems onacceptabel, aldus Mozilla vorig jaar. Nu heeft ook Google maatregelen aangekondigd. Vanaf Chrome versie 111, die op 7 maart verschijnt, zullen certificaten van TrustCor niet meer worden vertrouwd. Hiervoor maakt Google gebruik van de geïntegreerde certificaat-blocklist en wordt TrustCor ook uit de Chrome Root Store verwijderd. Verder zal Android vanaf 7 maart de certificaten van TrustCor ook niet meer vertrouwen.

Reacties (17)
14-01-2023, 09:05 door Anoniem
En dan komt de EU ff voorbij die eist dat door hun uitgegeven certificaten altijd geaccepteerd moeten worden.
Dat is een veel en veel groter probleem.
14-01-2023, 10:40 door Anoniem
Wie is Cor en waarom moesten we die eigenlijk vertrouwen?
Wordt het geen tijd om eens te kijken naar de basis onder dit vertrouwen systeem?
14-01-2023, 12:37 door Anoniem
nou ik had deze certificaten all uitgeschakeld gelukkig...
bedankt voor de tip security nl...goede sid
15-01-2023, 20:30 door Anoniem
Door Anoniem: En dan komt de EU ff voorbij die eist dat door hun uitgegeven certificaten altijd geaccepteerd moeten worden.
Dat is een veel en veel groter probleem.

Ja want de Amerikaanse certificates zijn te vertrouwen. Dat letsencrypt is toch ook ruk, in de nsa cloud. Waarom doet google certificate pinning in Chrome? Zelfs google vertrouwt all ca's niet.
15-01-2023, 20:31 door Anoniem
Het wordt tijd dat Google en de rest helemaal niet bepalen wie er vertrouwd moet worden.
15-01-2023, 22:26 door Anoniem
Door Anoniem: Het wordt tijd dat Google en de rest helemaal niet bepalen wie er vertrouwd moet worden.

Je kunt zelf certificaten eruit halen - of je eigen root CA toevoegen .

Heb je een goed idee welke entiteit je "de" set van root CAs wilt laten bepalen ?
15-01-2023, 22:40 door Anoniem
Door Anoniem:
Door Anoniem: En dan komt de EU ff voorbij die eist dat door hun uitgegeven certificaten altijd geaccepteerd moeten worden.
Dat is een veel en veel groter probleem.

Ja want de Amerikaanse certificates zijn te vertrouwen. Dat letsencrypt is toch ook ruk, in de nsa cloud. Waarom doet google certificate pinning in Chrome? Zelfs google vertrouwt all ca's niet.

je kunt eerder zeggen *juist* google neemt de verantwoordelijkheid om - via Chrome de google diensten portfolio zo veilig mogelijk te maken , en certificate pinning is een prima manier om voor de plekken waar je weet welke CA dat moet zijn, dat af te dwingen .

Je verwacht dat bv ook Apple in hun apps certificate pinning van de Apple diensten doet , om MITM aanvallen veel moeilijker te maken.

Een ietwat verwrongen analogie, maar redhat, debian,ubuntu etc etc doen gelukkig "pgp key pinning" voor hun package signing keys .
(dwz, die zitten in de distro, en worden niet willekeurig van een keyserver gehaald) .

Het is dankzij Chrome's certificate pinning dat het diginotar debacle mede ontdekt werd (diginotar was gebruikt om *google.com certificaten te signen , en werd gebruikt door Iran om google/gmail gebruik in Iran te onderscheppen) .
16-01-2023, 09:14 door Anoniem
Door Anoniem: Het wordt tijd dat Google en de rest helemaal niet bepalen wie er vertrouwd moet worden.
Store censuur is echt verschrikkelijk inderdaad.
16-01-2023, 11:00 door meneer
Blij dat Mozilla en Google actie ondernemen tegen onbetrouwbare partijen, maar het hele concept van een door CA/Browser forum opgstelde lijst met vertrouwde CA's en daarbij het rare eheer daarvan, is een beetje riskant: wij besteden feitelijk onze trust uit aan een paar partijen die het internet daarmee kunnen maken of breken. En dat pakt soms nog anders uit dan we denken. Hier mijn blogje over het outsourcen van Trust naar aanleiding van een gevalletje incident op mijn mastodon servertje:

https://blog.myfed.space/outsourcing-trust-about-monopolies
16-01-2023, 11:07 door Anoniem
Door Anoniem:
Door Anoniem: Het wordt tijd dat Google en de rest helemaal niet bepalen wie er vertrouwd moet worden.
Store censuur is echt verschrikkelijk inderdaad.

Je weet dat je opmerking helemaal NIKS te maken heeft met CA root certificaten , waar deze thread over gaat ?
16-01-2023, 12:49 door Anoniem
Door Anoniem:
Door Anoniem: Het wordt tijd dat Google en de rest helemaal niet bepalen wie er vertrouwd moet worden.

Je kunt zelf certificaten eruit halen - of je eigen root CA toevoegen .

Heb je een goed idee welke entiteit je "de" set van root CAs wilt laten bepalen ?

Ja, ik! Maar al die miljardairs die ik benader zijn te gierig voor woorden.
16-01-2023, 12:58 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: En dan komt de EU ff voorbij die eist dat door hun uitgegeven certificaten altijd geaccepteerd moeten worden.
Dat is een veel en veel groter probleem.

Ja want de Amerikaanse certificates zijn te vertrouwen. Dat letsencrypt is toch ook ruk, in de nsa cloud. Waarom doet google certificate pinning in Chrome? Zelfs google vertrouwt all ca's niet.

je kunt eerder zeggen *juist* google neemt de verantwoordelijkheid om - via Chrome de google diensten portfolio zo veilig mogelijk te maken , en certificate pinning is een prima manier om voor de plekken waar je weet welke CA dat moet zijn, dat af te dwingen .

Je verwacht dat bv ook Apple in hun apps certificate pinning van de Apple diensten doet , om MITM aanvallen veel moeilijker te maken.

Het huidige certificate systeem is zo gemaakt dat niemand het kan decrypten behalve de amerikanen. Ik will helemaal niet dat google een CA is, ik wil helemaal niet dat Apple een CA is.
Er is inmiddels genoeg bekend dat die bedrijven gewoon informatie doorsluisen naar wie dan ook. Waarom denk je dat ze niet zijn opgesplits als IBM toen der tijd. Deze partijen hebben zoveel waarde voor de overheid, dat ze daarom niet opgesplitst worden.



Het is dankzij Chrome's certificate pinning dat het diginotar debacle mede ontdekt werd (diginotar was gebruikt om *google.com certificaten te signen , en werd gebruikt door Iran om google/gmail gebruik in Iran te onderscheppen) .

Geen idee, heb daar niets over gelezen zover ik me kan herinneren, wel kan ik me vaag herinneren hoe ze gehacked waren. Mijn huidige security is al beter dan dat van Diginotar, wat een knuppels daar zeg.
16-01-2023, 14:51 door Anoniem
Door Anoniem:
Door Anoniem: En dan komt de EU ff voorbij die eist dat door hun uitgegeven certificaten altijd geaccepteerd moeten worden.
Dat is een veel en veel groter probleem.

Ja want de Amerikaanse certificates zijn te vertrouwen. Dat letsencrypt is toch ook ruk, in de nsa cloud. Waarom doet google certificate pinning in Chrome? Zelfs google vertrouwt all ca's niet.

je kunt eerder zeggen *juist* google neemt de verantwoordelijkheid om - via Chrome de google diensten portfolio zo veilig mogelijk te maken , en certificate pinning is een prima manier om voor de plekken waar je weet welke CA dat moet zijn, dat af te dwingen .

Je verwacht dat bv ook Apple in hun apps certificate pinning van de Apple diensten doet , om MITM aanvallen veel moeilijker te maken.
[/quote]
Het huidige certificate systeem is zo gemaakt dat niemand het kan decrypten behalve de amerikanen. Ik will helemaal niet dat google een CA is, ik wil helemaal niet dat Apple een CA is.
Er is inmiddels genoeg bekend dat die bedrijven gewoon informatie doorsluisen naar wie dan ook. Waarom denk je dat ze niet zijn opgesplits als IBM toen der tijd. Deze partijen hebben zoveel waarde voor de overheid, dat ze daarom niet opgesplitst worden.

[/quote]
ZIj zijn alleen CA voor domeinen van hun zelf. En als ze certificaten uitgeven voor anderen zouden er grootte problemen komen en worden zij door andere partijen uit de strust-stores gehaald.

Ik weet niet wat jij bedoeld met: "niemand het kan decrypted behalve de amerikanen."

Je weet hoe een CA werkt ? De enige decryptie die zij kunnen doen is van de sleuten voor een CA, dat is nodig voor het signen van nieuwe certificaten. Tevens er zijn stapels CAs over de hele wereld. Soms zelfs andere partijen die je misschien liever niet zou vertrouwen: het is wel minder geworden dat wel. Maar er is nu ook betere monitoring over wat er wordt uitgegven.

Wat evt. wel zou kunnen is dat zo'n CA een certificaat uitgeeft dat niet gevraagd was door de domein eigenaar (en dan DNS spoofing doen of BGP route hijack om verkeer te kunnen lezen) en dan hebben we weer het zelfde verhaal als hierboven al eerder genoemd.

De organizaties die bepalen welke CAs in jouw CA-store staan is op eigenlijk alle omgevingen, met uitzondering van Windows, een vaste lijst en alleen via de updates komen er wijzingen in. Dus jij kunt precies zien welke organisaties in die lijst staan en zoals hierboven al gezegd, dat zijn heel veel organisaties wereldwijd.

Jij kunt ook bijna in ieder systeem ook zelf instellen dat je een bepaalde CA niet wil, dus als er partijen bij zijn die je niet wilt, kun je die ook blokken.
16-01-2023, 18:56 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: En dan komt de EU ff voorbij die eist dat door hun uitgegeven certificaten altijd geaccepteerd moeten worden.
Dat is een veel en veel groter probleem.

Ja want de Amerikaanse certificates zijn te vertrouwen. Dat letsencrypt is toch ook ruk, in de nsa cloud. Waarom doet google certificate pinning in Chrome? Zelfs google vertrouwt all ca's niet.

je kunt eerder zeggen *juist* google neemt de verantwoordelijkheid om - via Chrome de google diensten portfolio zo veilig mogelijk te maken , en certificate pinning is een prima manier om voor de plekken waar je weet welke CA dat moet zijn, dat af te dwingen .

Je verwacht dat bv ook Apple in hun apps certificate pinning van de Apple diensten doet , om MITM aanvallen veel moeilijker te maken.

Het huidige certificate systeem is zo gemaakt dat niemand het kan decrypten behalve de amerikanen. Ik will helemaal niet dat google een CA is, ik wil helemaal niet dat Apple een CA is.

Huh ?
Kun je eigenlijk hard maken dat "de amerikanen" "het certificate systeem" kunnen decrypten ?

*Ik* ben een CA - weliswaar geen globally accepted one , maar dat is prima voor waar ik het nodig heb.
Ik kan me wel erg goed voorstellen dat Google, Apple .e.d voor zo'n cruciale zaak die controle niet aan iemand anders overlaten. Het is ook waarom ze hun eigen registrar zijn .
(precies ook de reden waarom de NL Overheid ook een CA is/heeft, en zo meer).



Er is inmiddels genoeg bekend dat die bedrijven gewoon informatie doorsluisen naar wie dan ook. Waarom denk je dat ze niet zijn opgesplits als IBM toen der tijd. Deze partijen hebben zoveel waarde voor de overheid, dat ze daarom niet opgesplitst worden.

Wat een rare gedachtenkronkels .

Wat geeft je het idee dat een overheid die - volgens jou - "informatie van Apple krijgt" die informatie NIET meer van "Apple Services,Inc", "Apple laptops,Inc" , "Apple phones, Inc" (*of hoe ze ook opsplitsen) zou krijgen , en *daarom* dan besluit om niet te splitsen ?

Nu zijn splitsingskeuzes complex - de historische hebben te maken met een (te)groot monopolie op een specifieke markt. (Standard Oil, AT&T, en IBM) .
Microsoft was een betere kandidaat voor de desktop OS markt.

Ja mag best vage theorieen opperen, maar probeer ze logisch te houden.
Je kunt niet helemaal zeggen dat er een monopolie op phones, of search of services is bij een van de partijen .


Het is dankzij Chrome's certificate pinning dat het diginotar debacle mede ontdekt werd (diginotar was gebruikt om *google.com certificaten te signen , en werd gebruikt door Iran om google/gmail gebruik in Iran te onderscheppen) .

Geen idee, heb daar niets over gelezen zover ik me kan herinneren, wel kan ik me vaag herinneren hoe ze gehacked

Je had het toen (of nu, achteraf) kunnen (na)lezen.
17-01-2023, 07:35 door Anoniem
Door Anoniem:
Door Anoniem: Je kunt zelf certificaten eruit halen - of je eigen root CA toevoegen .

Heb je een goed idee welke entiteit je "de" set van root CAs wilt laten bepalen ?

Ja, ik! Maar al die miljardairs die ik benader zijn te gierig voor woorden.
Als je zelf root CA's kan verwijderen en toevoegen dan kan je het nu al zelf doen en leggen die miljardairs je geen strobreed in de weg, toch?

Maar hoe ga je bepalen welke CA's je kan vertrouwen? Was je er zelf achter gekomen dat TrustCor nauw verweven is met een bedrijf dat banden heeft met weer een ander bedrijf dat afluisterdiensten leverde aan het Amerikaanse leger? Of hoorde je daar pas over toen je nieuws las over browsermakers die daar actie op ondernemen?
17-01-2023, 21:12 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Je kunt zelf certificaten eruit halen - of je eigen root CA toevoegen .

Heb je een goed idee welke entiteit je "de" set van root CAs wilt laten bepalen ?

Ja, ik! Maar al die miljardairs die ik benader zijn te gierig voor woorden.
Als je zelf root CA's kan verwijderen en toevoegen dan kan je het nu al zelf doen en leggen die miljardairs je geen strobreed in de weg, toch?

Maar hoe ga je bepalen welke CA's je kan vertrouwen? Was je er zelf achter gekomen dat TrustCor nauw verweven is met een bedrijf dat banden heeft met weer een ander bedrijf dat afluisterdiensten leverde aan het Amerikaanse leger? Of hoorde je daar pas over toen je nieuws las over browsermakers die daar actie op ondernemen?

Zie/hoor je wel als ik geld krijg ;)
17-01-2023, 23:23 door Anoniem
Door Anoniem:
Door Anoniem: Het wordt tijd dat Google en de rest helemaal niet bepalen wie er vertrouwd moet worden.
Heb je een goed idee welke entiteit je "de" set van root CAs wilt laten bepalen ?
Laten we dat eens aan putin & co vragen, dan alles wat we zouden moeten vertrouwen, juist niet vertrouwen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.