Firefox controleert ingetrokken certificaten voortaan via CRLite
Firefox is als eerste browser gestopt met het gebruik van OCSP om te controleren of door websites gebruikte certificaten zijn ingetrokken. In plaats daarvan zal de browser deze controles voortaan via CRLite uitvoeren, zo heeft Mozilla aangekondigd. CRLite is een technologie die informatie over ingetrokken certificaten zo effectief weet te comprimeren dat Firefox informatie over alle ingetrokken certificaten lokaal op het systeem van gebruikers kan opslaan en slechts 300KB per dag aan updates nodig heeft om bij te blijven.
Tls-certificaten zorgen voor een versleutelde verbinding tussen website en bezoekers en maken het mogelijk om de website te identificeren. Vertrouwen in deze certificaten is dan ook belangrijk. Wanneer een certificaat niet meer is te vertrouwen, bijvoorbeeld door een incident zoals bij DigiNotar, kan het tls-certificaat worden ingetrokken. Deze informatie moet vervolgens aan de browser worden gecommuniceerd.
Voor het communiceren van ingetrokken certificaten werden Certificate Revocation Lists (CRLs) en het Online Certificate Status Protocol (OCSP) bedacht. CRLs zijn eigenlijk gewoon lijsten met alle ingetrokken certificaten van een bepaalde certificaatautoriteit. Dergelijke lijsten zijn dan ook vaak zeer groot en daardoor inefficiënt om te downloaden als de browser één specifiek certificaat van een bezochte website wil controleren.
Als alternatief werd OCSP ontwikkeld. Hierbij wordt alleen het certificaat van de bezochte website gecontroleerd. De browser moet hiervoor wel verbinding met een OCSP-server kunnen maken. Wanneer de browser geen antwoord ontvangt zal die in veel gevallen het certificaat in kwestie gewoon accepteren. Aanvallers kunnen hier misbruik van maken door al het verkeer naar de OCSP-server te blokkeren. Vervolgens is een ingetrokken certificaat alsnog te gebruiken.
Daarnaast speelt er ook een privacyprobleem bij OCSP. Wanneer een gebruiker bij een OCSP-server informatie over een certificaat opvraagt, laat die ook aan deze server weten welke website er wordt bezocht. OCSP requests worden meestal via het onversleutelde HTTP verstuurd, wat inhoudt dat derden die het internetverkeer monitoren deze informatie ook kunnen zien. Daarom zijn verschillende certificaatautoriteiten, zoals Let's Encrypt, inmiddels gestopt met het ondersteunen van OCSP.
Jaren geleden kwam Mozilla met het idee van CRLite dat volledig op het systeem van gebruikers werkt en niet afhankelijk is van online controles. Het systeem maakt daarbij gebruik van "slimme algoritmes en technieken" om alle informatie te comprimeren, zodat alle informatie over ingetrokken certificaten lokaal is op te slaan en het up-to-date blijven met ingetrokken certificaten nauwelijks dataverkeer en diskruimte kost. CRLite is sinds Firefox 137 in de browser aanwezig, maar Mozilla heeft nu besloten alle controles via het systeem uit te voeren en met OCSP te stoppen. De Firefox-ontwikkelaar hoopt dat andere browserleveranciers CRLite nu ook binnen hun browsers gaan implementeren.
Kijk, ik vind security ook heel belangrijk hoor. Daar niet van. Maar je kunt ook overdrijven.
Daarnaast, als vrijwel geheel gratispaginaleverancier kost het me wel traffic op mijn kittige websitejes. Allemaal lieve bezoekers doodsbang gemaakt, dat ze misschien gehekt en gespoeft zijn, met paniek om niks, stelletje securitylullos met nul gevoel voor emoties!
Kijk, ik vind security ook heel belangrijk hoor. Daar niet van. Maar je kunt ook overdrijven.
Daarnaast, als vrijwel geheel gratispaginaleverancier kost het me wel traffic op mijn kittige websitejes. Allemaal lieve bezoekers doodsbang gemaakt, dat ze misschien gehekt en gespoeft zijn, met paniek om niks, stelletje securitylullos met nul gevoel voor emoties!
Of je fixt gewoon even een certificaat..
Kijk, ik vind security ook heel belangrijk hoor. Daar niet van. Maar je kunt ook overdrijven.
Daarnaast, als vrijwel geheel gratispaginaleverancier kost het me wel traffic op mijn kittige websitejes. Allemaal lieve bezoekers doodsbang gemaakt, dat ze misschien gehekt en gespoeft zijn, met paniek om niks, stelletje securitylullos met nul gevoel voor emoties!
"Oke meneer, nu gaat u Outlook aanklikken en dan gaat de foutmelding waar u last van heeft in beeld komen. Ik wil graag dat u dan niet doorklikt, dan kan ik de foutmelding lezen."
Zelfs met die disclaimer, kan een gebruiker die je 5 minuten moet uitleggen waar de start knop zich bevindt in Windows, de knop om een foutmelding weg te klikken in een picoseconde vinden en aanklikken.
En dat is de reden dat er zoveel toeters en bellen nodig zijn.
"Oke meneer, nu gaat u Outlook aanklikken en dan gaat de foutmelding waar u last van heeft in beeld komen. Ik wil graag dat u dan niet doorklikt, dan kan ik de foutmelding lezen."
Zelfs met die disclaimer, kan een gebruiker die je 5 minuten moet uitleggen waar de start knop zich bevindt in Windows, de knop om een foutmelding weg te klikken in een picoseconde vinden en aanklikken.
neerleggen, en weer achteraan in de telefoonrij laten aansluiten....
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?