Google verwijdert certificaatautoriteit TrustCor uit Chrome Root Store
Google gaat certificaatautoriteit TrustCor wegens veiligheidsredenen uit de Chrome Root Store verwijderen. Chrome-gebruikers krijgen vanaf maart een waarschuwing als ze websites bezoeken die gebruikmaken van certificaten uitgegeven door TrustCor. Eerder kondigden ook Mozilla en Microsoft maatregelen aan.
Aanleiding om het vertrouwen in de certificaatautoriteit op te zeggen zijn de nauwe banden tussen TrustCor en Measurement Systems, een bedrijf dat Androidmalware verspreidt. Vorig jaar november lieten onderzoekers en de Wall Street Journal weten dat TrustCor en Measurement Systems nauw verweven met elkaar zijn en onder andere kantoorruimte, technische voorzieningen en personeel deelden. Het in Panama gevestigde Measurement Systems heeft weer banden met Packet Forensics, dat afluisterdiensten aan het Amerikaans leger leverde.
Onderzoekers ontdekten begin 2022 dat Measurement Systems softwareontwikkelaars betaalde voor het toevoegen van malware aan hun apps, die persoonlijke informatie van gebruikers terugstuurde, waaronder telefoonnummers, e-mailadres en exacte locatie. De betreffende apps zijn vermoedelijk meer dan zestig miljoen keer gedownload, waaronder tien miljoen downloads voor een gebeds-app voor moslims. Nadat de onderzoekers hun bevindingen met Google deelden werden de apps uit de Play Store verwijderd.
Naast Google werd ook Mozilla ingelicht over de connectie tussen Measurement Systems en TrustCor. De laatstgenoemde is zoals gezegd een rootcertificaatautoriteit. Browsers en besturingssystemen vertrouwen tls-certificaten, die websites voor een versleutelde verbinding gebruiken, alleen als ze het rootcertificaat vertrouwen waaronder het tls-certificaat is uitgegeven. Is het certificaat niet afkomstig van een certificaatautoriteit die in de root store is te vinden dan geeft de browser een certificaatwaarschuwing.
Er zijn geen aanwijzingen dat TrustCor malafide tls-certificaten heeft uitgegeven, waarmee het bijvoorbeeld mogelijk is om verkeer van internetgebruikers via een man-in-the-middle-aanval te onderscheppen. Toch zijn de banden tussen de certificaatautoriteit en Measurement Systems onacceptabel, aldus Mozilla vorig jaar. Nu heeft ook Google maatregelen aangekondigd. Vanaf Chrome versie 111, die op 7 maart verschijnt, zullen certificaten van TrustCor niet meer worden vertrouwd. Hiervoor maakt Google gebruik van de geïntegreerde certificaat-blocklist en wordt TrustCor ook uit de Chrome Root Store verwijderd. Verder zal Android vanaf 7 maart de certificaten van TrustCor ook niet meer vertrouwen.
Dat is een veel en veel groter probleem.
Wordt het geen tijd om eens te kijken naar de basis onder dit vertrouwen systeem?
bedankt voor de tip security nl...goede sid
Dat is een veel en veel groter probleem.
Ja want de Amerikaanse certificates zijn te vertrouwen. Dat letsencrypt is toch ook ruk, in de nsa cloud. Waarom doet google certificate pinning in Chrome? Zelfs google vertrouwt all ca's niet.
Je kunt zelf certificaten eruit halen - of je eigen root CA toevoegen .
Heb je een goed idee welke entiteit je "de" set van root CAs wilt laten bepalen ?
Dat is een veel en veel groter probleem.
Ja want de Amerikaanse certificates zijn te vertrouwen. Dat letsencrypt is toch ook ruk, in de nsa cloud. Waarom doet google certificate pinning in Chrome? Zelfs google vertrouwt all ca's niet.
je kunt eerder zeggen *juist* google neemt de verantwoordelijkheid om - via Chrome de google diensten portfolio zo veilig mogelijk te maken , en certificate pinning is een prima manier om voor de plekken waar je weet welke CA dat moet zijn, dat af te dwingen .
Je verwacht dat bv ook Apple in hun apps certificate pinning van de Apple diensten doet , om MITM aanvallen veel moeilijker te maken.
Een ietwat verwrongen analogie, maar redhat, debian,ubuntu etc etc doen gelukkig "pgp key pinning" voor hun package signing keys .
(dwz, die zitten in de distro, en worden niet willekeurig van een keyserver gehaald) .
Het is dankzij Chrome's certificate pinning dat het diginotar debacle mede ontdekt werd (diginotar was gebruikt om *google.com certificaten te signen , en werd gebruikt door Iran om google/gmail gebruik in Iran te onderscheppen) .
https://blog.myfed.space/outsourcing-trust-about-monopolies
Je weet dat je opmerking helemaal NIKS te maken heeft met CA root certificaten , waar deze thread over gaat ?
Je kunt zelf certificaten eruit halen - of je eigen root CA toevoegen .
Heb je een goed idee welke entiteit je "de" set van root CAs wilt laten bepalen ?
Ja, ik! Maar al die miljardairs die ik benader zijn te gierig voor woorden.
Dat is een veel en veel groter probleem.
Ja want de Amerikaanse certificates zijn te vertrouwen. Dat letsencrypt is toch ook ruk, in de nsa cloud. Waarom doet google certificate pinning in Chrome? Zelfs google vertrouwt all ca's niet.
je kunt eerder zeggen *juist* google neemt de verantwoordelijkheid om - via Chrome de google diensten portfolio zo veilig mogelijk te maken , en certificate pinning is een prima manier om voor de plekken waar je weet welke CA dat moet zijn, dat af te dwingen .
Je verwacht dat bv ook Apple in hun apps certificate pinning van de Apple diensten doet , om MITM aanvallen veel moeilijker te maken.
Het huidige certificate systeem is zo gemaakt dat niemand het kan decrypten behalve de amerikanen. Ik will helemaal niet dat google een CA is, ik wil helemaal niet dat Apple een CA is.
Er is inmiddels genoeg bekend dat die bedrijven gewoon informatie doorsluisen naar wie dan ook. Waarom denk je dat ze niet zijn opgesplits als IBM toen der tijd. Deze partijen hebben zoveel waarde voor de overheid, dat ze daarom niet opgesplitst worden.
Het is dankzij Chrome's certificate pinning dat het diginotar debacle mede ontdekt werd (diginotar was gebruikt om *google.com certificaten te signen , en werd gebruikt door Iran om google/gmail gebruik in Iran te onderscheppen) .
Geen idee, heb daar niets over gelezen zover ik me kan herinneren, wel kan ik me vaag herinneren hoe ze gehacked waren. Mijn huidige security is al beter dan dat van Diginotar, wat een knuppels daar zeg.
Dat is een veel en veel groter probleem.
Ja want de Amerikaanse certificates zijn te vertrouwen. Dat letsencrypt is toch ook ruk, in de nsa cloud. Waarom doet google certificate pinning in Chrome? Zelfs google vertrouwt all ca's niet.
je kunt eerder zeggen *juist* google neemt de verantwoordelijkheid om - via Chrome de google diensten portfolio zo veilig mogelijk te maken , en certificate pinning is een prima manier om voor de plekken waar je weet welke CA dat moet zijn, dat af te dwingen .
Je verwacht dat bv ook Apple in hun apps certificate pinning van de Apple diensten doet , om MITM aanvallen veel moeilijker te maken.
[/quote]
Het huidige certificate systeem is zo gemaakt dat niemand het kan decrypten behalve de amerikanen. Ik will helemaal niet dat google een CA is, ik wil helemaal niet dat Apple een CA is.
Er is inmiddels genoeg bekend dat die bedrijven gewoon informatie doorsluisen naar wie dan ook. Waarom denk je dat ze niet zijn opgesplits als IBM toen der tijd. Deze partijen hebben zoveel waarde voor de overheid, dat ze daarom niet opgesplitst worden.
[/quote]
ZIj zijn alleen CA voor domeinen van hun zelf. En als ze certificaten uitgeven voor anderen zouden er grootte problemen komen en worden zij door andere partijen uit de strust-stores gehaald.
Ik weet niet wat jij bedoeld met: "niemand het kan decrypted behalve de amerikanen."
Je weet hoe een CA werkt ? De enige decryptie die zij kunnen doen is van de sleuten voor een CA, dat is nodig voor het signen van nieuwe certificaten. Tevens er zijn stapels CAs over de hele wereld. Soms zelfs andere partijen die je misschien liever niet zou vertrouwen: het is wel minder geworden dat wel. Maar er is nu ook betere monitoring over wat er wordt uitgegven.
Wat evt. wel zou kunnen is dat zo'n CA een certificaat uitgeeft dat niet gevraagd was door de domein eigenaar (en dan DNS spoofing doen of BGP route hijack om verkeer te kunnen lezen) en dan hebben we weer het zelfde verhaal als hierboven al eerder genoemd.
De organizaties die bepalen welke CAs in jouw CA-store staan is op eigenlijk alle omgevingen, met uitzondering van Windows, een vaste lijst en alleen via de updates komen er wijzingen in. Dus jij kunt precies zien welke organisaties in die lijst staan en zoals hierboven al gezegd, dat zijn heel veel organisaties wereldwijd.
Jij kunt ook bijna in ieder systeem ook zelf instellen dat je een bepaalde CA niet wil, dus als er partijen bij zijn die je niet wilt, kun je die ook blokken.
Dat is een veel en veel groter probleem.
Ja want de Amerikaanse certificates zijn te vertrouwen. Dat letsencrypt is toch ook ruk, in de nsa cloud. Waarom doet google certificate pinning in Chrome? Zelfs google vertrouwt all ca's niet.
je kunt eerder zeggen *juist* google neemt de verantwoordelijkheid om - via Chrome de google diensten portfolio zo veilig mogelijk te maken , en certificate pinning is een prima manier om voor de plekken waar je weet welke CA dat moet zijn, dat af te dwingen .
Je verwacht dat bv ook Apple in hun apps certificate pinning van de Apple diensten doet , om MITM aanvallen veel moeilijker te maken.
Het huidige certificate systeem is zo gemaakt dat niemand het kan decrypten behalve de amerikanen. Ik will helemaal niet dat google een CA is, ik wil helemaal niet dat Apple een CA is.
Huh ?
Kun je eigenlijk hard maken dat "de amerikanen" "het certificate systeem" kunnen decrypten ?
*Ik* ben een CA - weliswaar geen globally accepted one , maar dat is prima voor waar ik het nodig heb.
Ik kan me wel erg goed voorstellen dat Google, Apple .e.d voor zo'n cruciale zaak die controle niet aan iemand anders overlaten. Het is ook waarom ze hun eigen registrar zijn .
(precies ook de reden waarom de NL Overheid ook een CA is/heeft, en zo meer).
Er is inmiddels genoeg bekend dat die bedrijven gewoon informatie doorsluisen naar wie dan ook. Waarom denk je dat ze niet zijn opgesplits als IBM toen der tijd. Deze partijen hebben zoveel waarde voor de overheid, dat ze daarom niet opgesplitst worden.
Wat een rare gedachtenkronkels .
Wat geeft je het idee dat een overheid die - volgens jou - "informatie van Apple krijgt" die informatie NIET meer van "Apple Services,Inc", "Apple laptops,Inc" , "Apple phones, Inc" (*of hoe ze ook opsplitsen) zou krijgen , en *daarom* dan besluit om niet te splitsen ?
Nu zijn splitsingskeuzes complex - de historische hebben te maken met een (te)groot monopolie op een specifieke markt. (Standard Oil, AT&T, en IBM) .
Microsoft was een betere kandidaat voor de desktop OS markt.
Ja mag best vage theorieen opperen, maar probeer ze logisch te houden.
Je kunt niet helemaal zeggen dat er een monopolie op phones, of search of services is bij een van de partijen .
Het is dankzij Chrome's certificate pinning dat het diginotar debacle mede ontdekt werd (diginotar was gebruikt om *google.com certificaten te signen , en werd gebruikt door Iran om google/gmail gebruik in Iran te onderscheppen) .
Geen idee, heb daar niets over gelezen zover ik me kan herinneren, wel kan ik me vaag herinneren hoe ze gehacked
Je had het toen (of nu, achteraf) kunnen (na)lezen.
Heb je een goed idee welke entiteit je "de" set van root CAs wilt laten bepalen ?
Ja, ik! Maar al die miljardairs die ik benader zijn te gierig voor woorden.
Maar hoe ga je bepalen welke CA's je kan vertrouwen? Was je er zelf achter gekomen dat TrustCor nauw verweven is met een bedrijf dat banden heeft met weer een ander bedrijf dat afluisterdiensten leverde aan het Amerikaanse leger? Of hoorde je daar pas over toen je nieuws las over browsermakers die daar actie op ondernemen?
Heb je een goed idee welke entiteit je "de" set van root CAs wilt laten bepalen ?
Ja, ik! Maar al die miljardairs die ik benader zijn te gierig voor woorden.
Maar hoe ga je bepalen welke CA's je kan vertrouwen? Was je er zelf achter gekomen dat TrustCor nauw verweven is met een bedrijf dat banden heeft met weer een ander bedrijf dat afluisterdiensten leverde aan het Amerikaanse leger? Of hoorde je daar pas over toen je nieuws las over browsermakers die daar actie op ondernemen?
Zie/hoor je wel als ik geld krijg ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.