Google Chrome zegt vertrouwen op in certificaten Chunghwa Telecom en Netlock
Google heeft het vertrouwen in certificaatautoriteiten Chunghwa Telecom en Netlock opgezegd en zal nieuwe certificaten van deze partijen niet meer in de Chrome-browser vertrouwen. Dat heeft het techbedrijf in een blogposting aangekondigd. Volgens Google is vanwege "patronen van zorgwekkend gedragd" het vertrouwen in de betrouwbaarheid van Chunghwa Telecom en Netlock als certificaatautoriteit het afgelopen jaar afgenomen. Door het vertoonde gedrag zijn deze certificaatautoriteiten dan ook niet langer meer als uitgevers van publiek vertrouwde certificaten in Chrome te vertrouwen, laat Google verder weten.
Certificaatautoriteiten geven tls-certificaten uit die voor versleutelde verbindingen en identificatie van websites worden gebruikt. Fouten door deze partijen kunnen dan ook grote gevolgen hebben. Vanwege de belangrijke rol die certificaatautoriteiten spelen moeten die aan allerlei regels voldoen, zoals opgesteld in de CA/Browser TLS Baseline Requirements. Volgens Google hebben de certificaatautoriteiten zich niet aan de regels gehouden, zijn toezeggingen om de situatie te verbeteren niet nagekomen en is er geen meetbare voortgang in reactie op publieke incidentrapporten.
"Wanneer deze factoren worden gewogen en afgezet tegen het risico dat elke publiek vertrouwde certificaatautoriteit voor het internet vormt, is publiek vertrouwen niet langer gerechtvaardigd", aldus Google. Certificaten van Chunghwa Telecom en Netlock die vanaf 1 augustus zijn uitgegeven worden niet meer door Chrome vertrouwd. Gebruikers krijgen dan deze foutmelding te zien. Voor 1 augustus uitgegeven certificaten zal de browser wel blijven accepteren. Klanten van deze twee certificaatautoriteiten krijgen het advies van Google om naar een andere partij over te stappen.
De enige waarheid is DNS, vanaf de . tot en met de (quad) A records.
(Zelfs de CA's gebruiken dit om jouw server een DV certificaatje te geven...)
Dus als het puur om TLS opzetten gaat ben ik van mening dat je geen CA's nodig zou moeten hebben.
Alles kan gewoon via DNS(Sec) lopen, waardoor je geen risico meer loopt bij een compromised/rogue CA.
Ik denk dat dit een risico is aangezien er geopolitiek gezien steeds meer spanning en conflicten zijn.
Kunnen wij bijvoorbeeld nog wel Chinese CA's vertrouwen? En wat dan met het omgekeerde? Of bij oorlog?
Een vijand heeft honderden doelen om een certificaat van te krijgen en kan dan AL jouw TLS verkeer onderscheppen.
Dit is in mijn ogen een onacceptabel risico dat gewoon opgelost moet worden.
De enige waarheid is DNS, vanaf de . tot en met de (quad) A records.
(Zelfs de CA's gebruiken dit om jouw server een DV certificaatje te geven...)
Dus als het puur om TLS opzetten gaat ben ik van mening dat je geen CA's nodig zou moeten hebben.
Alles kan gewoon via DNS(Sec) lopen, waardoor je geen risico meer loopt bij een compromised/rogue CA.
Ik denk dat dit een risico is aangezien er geopolitiek gezien steeds meer spanning en conflicten zijn.
Kunnen wij bijvoorbeeld nog wel Chinese CA's vertrouwen? En wat dan met het omgekeerde? Of bij oorlog?
Een vijand heeft honderden doelen om een certificaat van te krijgen en kan dan AL jouw TLS verkeer onderscheppen.
Dit is in mijn ogen een onacceptabel risico dat gewoon opgelost moet worden.
DNS is een slecht idee.
Het is te makkelijk om DNS verkeer te onderscheppen en te misbruiken, daarom zijn enkel DV certificaten op basis van DNS en niet de EV certificaten.
Ik ben het met je eens dat je niet elke CA moet vertrouwen al ga ik niet zover om te zeggen dat Chinese CA's niet betrouwbaar zijn, ik denk dat de Amerikaanse op z'n minst net zo fout zijn.
Waar ik het vooral niet mee eens ben is dat iedere browser zelf kan bepalen welke CA's betrouwbaar zijn en welke niet. Het zou beter zijn als dat, net als met domeinnamen, centraal geregeld zou zijn zoals bij domeinnamen.
Een vereiste is natuurlijk dat je van DNSSEC gebruikmaakt, ICANN is niet voor niets bezig om dat uit te rollen...
Trouwens, OV en EV certificaten hebben tegenwoordig praktisch geen toegevoegde waarde meer.
Het hele probleem is dat het CA systeem gebaseerd is op niet langer meer geldige vertrouwensassumpties.
Maar op dit moment vertrouwen we DV certificaten van >100 CA's die via (onveilige) DNS records worden uitgegeven. Hier moeten we dus van af. Je kan de public key van je server in crypto geverifieerde DNS records stoppen, en dan is dit hele gat meteen gedicht. Je slaat hiermee in principe het hele CA systeem over. Deze oplossing heet DANE, maar is momenteel niet door browsers geïmplementeerd.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?