Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

SSL Certificaat Changes Checker

Pagina: 1
Acties:

vrijdag 9 januari 2015 16:23

Acties:
  • ajakkes
  • Registratie: Maart 2004
  • Laatst online: 16-05 22:32

ajakkes

👑

Topicstarter
Ik vroeg mij af, naar aanleiding van de berichten nieuws: Google ontdekt valse ssl-certificaten voor Google-sites en nieuws: 'Aanbieder wifi in vliegtuigen injecteert vals ssl-certificaat', of het mogelijk is om tijdens het browsen met Firefox of Chrome door middel van een plugin bij te houden of de uitgever van het certificaat sinds het vorige bezoek is gewijzigd.

Bijvoorbeeld door de hash van het vorige bezoek op te slaan en te vergelijken met de nieuwe hash en een melding geven wanneer deze niet overeen komt.

👑

vrijdag 9 januari 2015 16:28

Acties:
  • Boss
  • Registratie: September 1999
  • Laatst online: 08:31

Boss

+1 Overgewaardeerd

Technisch is dat wel mogelijk, van een certificaat is eenvoudig na te gaan wie de uitgever is. Maar het wijzigen van uitgever hoeft op zich geen probleem te zijn. Er zijn ook bedrijven die een reserve-certificaat klaar hebben liggen voor het geval dat een certificaat ingetrokken wordt. Geen probleem voor de gebruiker, wel een wijziging van uitgever.

Of zo'n plugin al bestaat weet ik niet :-)

The process of preparing programs for a digital computer is especially attractive, not only because it can be economically and scientifically rewarding, but also because it is an aesthetic experience much like composing poetry or music.

vrijdag 9 januari 2015 16:32

Acties:
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30

johnkeates

Dat heet public key pinning en is beschikbaar in in elk geval Chrome en Firefox.

vrijdag 9 januari 2015 16:39

Acties:
  • ajakkes
  • Registratie: Maart 2004
  • Laatst online: 16-05 22:32

ajakkes

👑

Topicstarter
@Boss
Ik ben wel benieuwd of dit regelmatig voor komt en zou om die reden de plugin willen gebruiken.

Ik kan me voorstellen dat een grote website verschillende certificataten op verschillende servers heeft staan met hetzelfde domeinnaam. Waarbij dus de hash afhankelijk is van de bezochte server.

Maar eigenlijk ga ik er van uit dat het certificaat zelden wijzigd. Terwijl MITM aanvallen waarbij het certificaat door een gehackte root authority er voor zou zorgen dat de wijziging plaats vind afhankelijk van het netwerk waar de gebruiker zich op bevindt.

@johnkeates
Ja, daarbij is (ik verwacht tijdens het compileren van de browser) in de browser een klein aantal ssl certificaten vast opgenomen. Dit geldt echter alleen voor certificaten die door Google en Mozilla belangrijk worden geacht. Ik zou graag public key pinning dynamisch willen toepassen voor elk of eigen gedefineerde SSL certificaten. Maar dank je wel voor het noemen van de term. Ik zal daarmee verder gaan zoeken.

👑

vrijdag 9 januari 2015 20:22

Acties:
  • Jester-NL
  • Registratie: Januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

Zit jij zo vaak op wisselende locaties die je niet 100% vertrouwd te werken?

Normaal gesproken heeft een certificaat een geldigheid varierend tussen de 1 en 3 jaar. Als je alleen op vaste locaties verbindt, zal een normaal certificaat dus eens in die periode een alarm triggeren.
Persoonlijk denk ik dat dit vooral zin heeft op het moment dat je met grote regelmaat van accesspoint wisselt. En zelfs dan alleen bij 'grotere' sites. Het certificaat zal namelijk uitgegeven moeten zijn, en geplaatst. Met andere woorden, de kans dat https://ajakkes.got daar slachtoffer van zal worden is verwaarloosbaar klein.

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

vrijdag 9 januari 2015 23:48

Acties:
  • ajakkes
  • Registratie: Maart 2004
  • Laatst online: 16-05 22:32

ajakkes

👑

Topicstarter
Ja, bij gebruik van bijvoorbeeld een tor netwerk, tethering via mobiel, verschillende bedrijfsnetwerken, openbare wifi spots wordt regelmatig van netwerk gewisseld waarbij niet iedere verbinding interresant is om af te luisteren. Maar de grotere Nederlandse sites mogelijk wel.

Maar misschien juist wel de verbinding met https://ajakkes.got:500.

👑

vrijdag 9 januari 2015 23:50

Acties:
  • Nvidiot
  • Registratie: Mei 2003
  • Laatst online: 03-06 16:38

Nvidiot

notepad!

Plugin voor Firefox die zou moeten doen wat jij zoekt: http://patrol.psyced.org/

What a caterpillar calls the end, the rest of the world calls a butterfly. (Lao-Tze)

zaterdag 10 januari 2015 00:12

Acties:
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 20-11 14:42

CAPSLOCK2000

zie teletekst pagina 888

Kijk eens naar Convergence. Dat werkt ook voor sites waar je nog nooit bent geweest.
Het idee is dat je controleert wat voor certificaat anderen op internet zien. Als die een ander certificaat zien dan jij hebt gekregen dan weet je dat er iets mis is.

This post is warranted for the full amount you paid me for it.

zondag 11 januari 2015 08:31

Acties:
  • ajakkes
  • Registratie: Maart 2004
  • Laatst online: 16-05 22:32

ajakkes

👑

Topicstarter
Nvidiot schreef op vrijdag 09 januari 2015 @ 23:50:
Plugin voor Firefox die zou moeten doen wat jij zoekt: http://patrol.psyced.org/
Bedankt Nvidiot, die doet precies wat ik wil.

👑

zondag 11 januari 2015 18:33

Acties:
  • Jester-NL
  • Registratie: Januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

Convergence lijkt me nou niet echt de oplossing voor dit specifieke vraagstuk
Voor zover ik zo snel even zie is dat een alternatief voor de huidege manier waarop certificaten worden uitgegeven, decentraal en redelijk open. Maar je hebt er niets aan (voor zover ik zo snel even zie) om te bepalen of een via het huidige systeem uitgegeven certificaat klopt.
Belangrijkste issue in de in de OP genoemde voorbeelden is dat er ergens een club is die de huidige regels voor CA's aan zijn laars lapt. Convergence wil de huidige CA's helemaal vervangen. Controleren zij dan ook wat er volgens de huidige regels is uitgegeven?

That all said: uiteindelijk zou een oplossing als DANE dit probleem grotendeels moeten kunnen gaan voorkomen. Nu nog even zien of de Symantecs, Comodos, Globalsigns en alle anderen daar niet vreselijk voor gaan liggen...

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

dinsdag 13 januari 2015 11:55

Acties:
  • adkorte
  • Registratie: September 2014
  • Laatst online: 24-03 07:32

adkorte

DANE heeft weer zijn eigen zwakheid, namelijk dat het vertrouwen komt te liggen bij een paar honderd TLD's in plaats van (of naast) de CA's.

En kun je TLD's wel ècht vertrouwen? Ben je er 100% zeker van dat Verisign de records van je .COM domein (die je natuurlijk met DNSSEC hebt ondertekend) niet zal aanpassen als de NSA ze daartoe verplicht? Of van je .CN domein hebt geregistreerd in China of een .RU domein in Rusland? Kun je er dan op vertrouwen dat die records bij de respectievelijke TLD's veilig staan voor nieuwsgierige overheden?

Dat aanpassen van die records loopt natuurlijk in de gaten als je dat massaal doet, maar als je dat alleen voor individuen doet waar je in bent geïnteresseerd kom je daar waarschijnlijk best een tijd mee weg.

dinsdag 13 januari 2015 14:29

Acties:
  • Jester-NL
  • Registratie: Januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

adkorte schreef op dinsdag 13 januari 2015 @ 11:55:
(...)
Dat aanpassen van die records loopt natuurlijk in de gaten als je dat massaal doet, maar als je dat alleen voor individuen doet waar je in bent geïnteresseerd kom je daar waarschijnlijk best een tijd mee weg.
Ik denk toch dat het individu, wiens site gebruikt maakt van DNSSEC, dat onmiddelijk zal merken als er aan of met zijn DNSSEC-key geklooid is ;)
En als daar een paar keer over geklaagd wordt richting Verisign (of een andere registry), denk je niet dat ze dan toch wat issues gaan krijgen?

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

woensdag 14 januari 2015 00:01

Acties:
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 20-11 14:42

CAPSLOCK2000

zie teletekst pagina 888

Jester-NL schreef op zondag 11 januari 2015 @ 18:33:
Convergence lijkt me nou niet echt de oplossing voor dit specifieke vraagstuk
Voor zover ik zo snel even zie is dat een alternatief voor de huidege manier waarop certificaten worden uitgegeven, decentraal en redelijk open. Maar je hebt er niets aan (voor zover ik zo snel even zie) om te bepalen of een via het huidige systeem uitgegeven certificaat klopt.

Belangrijkste issue in de in de OP genoemde voorbeelden is dat er ergens een club is die de huidige regels voor CA's aan zijn laars lapt. Convergence wil de huidige CA's helemaal vervangen. Controleren zij dan ook wat er volgens de huidige regels is uitgegeven?
Jawel. Je vraagt aan (door jouw vertrouwde) servers welk SSL-certificaat zij zien voor die site. Als dat goed werkt heb je geen CA meer nodig en kan je net zo goed self-signed certificaten gebruiken. Hoe het certificaat is gemaakt doet er niet toe, het werkt dus ook voor certificaten die wel door CA's zijn uitgegeven.
That all said: uiteindelijk zou een oplossing als DANE dit probleem grotendeels moeten kunnen gaan voorkomen. Nu nog even zien of de Symantecs, Comodos, Globalsigns en alle anderen daar niet vreselijk voor gaan liggen...
DANE is leuk en ik ben er groot voorstander van, maar dat vereist medewerking van eigenaren van de SSL-certificaten. Convergence kun je nu al helemaal zelf doen. Ook als DANE algemeen gebruikt gaat worden dan blijft het probleem bestaan dat je de registries moet vertrouwen. Convergence detecteert het als jij een ander antwoord krijgt dan de rest van de wereld.

This post is warranted for the full amount you paid me for it.

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq