Grote SSL-certificaten verboden door Google Chrome!
In overeenstemming met de voorwaarden van een straf die Google vorig jaar heeft aangekondigd, heeft de webgigant uitgegeven een verklaring zeggend dat het TLS- of SSL-certificaatautoriteiten niet langer kan vertrouwen WoSign evenals zijn dochteronderneming, StartCom. Dit komt vlak voor de lancering van de Chrome 61. De reden voor deze ban? Volgens Google voldeden de twee certificaatautoriteiten niet aan de hoge normen die van de kant van CA's worden verwacht.
Hoewel schokkend, kan de verhuizing nauwelijks een verrassing worden genoemd, gezien de manier waarop Google op 17 meldingen ontving van het beveiligingsteam van GitHubth Augustus vorig jaar, met betrekking tot het feit dat WoSign - de Chinese certificeringsautoriteit - een basiscertificaat voor een van de domeinen van GitHub had uitgedeeld aan een niet bekendgemaakte GitHub-gebruiker zonder enige vorm van autorisatie te vragen.
Waarom kwam Google met de beslissing?
Toen het nieuws over dit probleem bekend werd, werd een volwaardig onderzoek gestart door het Google-team. Dit onderzoek zou openbaar zijn in samenwerking met Mozilla en de grotere beveiligingsgemeenschap. Het onderzoek leverde al snel interessant bewijs op met betrekking tot verschillende andere gevallen waarin sprake was van onjuiste uitgifte van certificaten door WoSign.
Vanwege de uitkomst van het onderzoek had Google geen andere keuze dan het vertrouwen van certificaten die werden ondersteund door StartCom en WoSign te verminderen tot certificaten die waren uitgegeven vóór de 21st van oktober vorig jaar. Bovendien is de techgigant momenteel bezig met het verwijderen van verschillende hostnamen op de witte lijst in de loop van verschillende Chrome-releases sinds Google Chrome 56.
Volgens de inhoud van een recent Google-bericht van Devon O'Brien, een beveiligingsingenieur voor Chrome, zou het bedrijf eindelijk de witte lijst van de nieuwste versie van Chrome verwijderen. Dit betekent dat Google heeft besloten de huidige StartCom- en WoSign-certificaten volledig te wantrouwen. O'Brien zegt dat vanaf Chrome 61 de whitelist er niet meer zal zijn, wat leidt tot een volledig wantrouwen van bestaande rootcertificaten door WoSign en StartCom, zijn dochteronderneming, samen met alle certificaten die door hen zijn uitgegeven.
Volgens de Chromium Development Calender zullen al deze wijzigingen die zijn geïmplementeerd in de komende weken zichtbaar zijn in het Chrome Dev-kanaal. Het Chrome Beta-kanaal zal deze veranderingen rond het laatste deel van juli 2017 laten zien, terwijl de stabiele versie deze veranderingen rond het midden van de maand september 2017 zal weerspiegelen.
In het afgelopen jaar hebben Mozilla en Apple hun vertrouwen ingetrokken bij WoSign, en het was StartCom die de certificaten voor hun webbrowser uitgaf vanwege een aantal beheer- en technische storingen.
Het zijn SSL-certificaten met terugwerkende kracht
Volgens Kathleen Wilson, die het hoofd is van het vertrouwde rootprogramma voor Mozilla, vonden ze bewijs dat WoSign en StartCom SSL-certificaten aan het verouderen waren, zodat ze een manier konden vinden om de deadline te overschrijden, waardoor CA's geen SHA-1 SSL-certificaten konden uitgeven. na de 1st van januari 2016. Dit is een zeer serieuze claim en zou in de toekomst grote gevolgen kunnen hebben voor de SSL Certificaatautoriteiten.
Maar dat is niet alles. Het was Mozilla die ook ontdekte dat WoSign fulltime eigenaar was geworden van een andere CA, StartCom genaamd, maar deze informatie niet had vrijgegeven, ondanks dat dit duidelijk werd vermeld in het beleid van Mozilla.
Problemen met de WoSign-certificaatservice gaan terug tot juli 2015 en deze informatie werd vorig jaar openbaar gemaakt door Gervase Markham. Volgens de Britse Mozilla-programmeur kwam een niet-geïdentificeerde onderzoeker per ongeluk op dit veiligheidstoezicht terecht toen hij probeerde een certificaat voor “med.ucf.edu” te krijgen. Hij had ook een aanvraag ingediend voor “www.ucf.ed” en WoSign had de goedkeuring gegeven en het certificaat voor het hoofddomein van de universiteit ter beschikking gesteld.
Om dit uit te testen, gebruikte de beveiligingsonderzoeker dezelfde truc tegen op GitHub gebaseerde domeinen. Hij bewees zijn controle over een subdomein en schokkend, gaf WoSign hem ook het certificaat voor de hoofddomeinen van GitHub.
Dus vanaf september 2017 zal iedereen die websites bezoekt die StartCom- en WoSign HTTPS-certificaten gebruiken, vertrouwenswaarschuwingen krijgen in hun webbrowser.
This method has completely changed the game for me, thank you.
I’ve tried many other methods before, but this one is by far the most effective.
I’ve never seen a method presented in such a clear and engaging way. This is fantastic!