Googles Zertifikate-Politik

Unser eigenes kleines Discourse mit-betreibend, würde ich mich eines solchen Aufrufs nicht verschließen; allerdings hat aus meiner Sicht die Foren-Software mit dem Webserver (und damit dem Zertifikat dessen) wenig bis nichts zu tun.

Und auch Googles Machtausübung als Browserhersteller sollte man hinterfragen, zumal da noch ganz anderen CAs in Google-Ungnade gefallen sind. Würde ich für ein WoSign-Zertifikat bezahlt haben, wäre meine Antwort klar »Chrome/Chromium XX ist defekt, bitte verwende die korrekte Vorgängerversion«, Ende der Geschichte.

Letzlich übt hier Google über seine(n) Browser Selbstjustiz, und bei allem Abscheu, den CAs bei mir hervorrufen: faktisch geschieht dies AFAIK außerhalb des, eigentlich allseits anerkannten, Rechtsystems und Google wendet hier einfach sein Faustrecht gegen unliebsame Mitspieler an:

Google has determined that two CAs, WoSign and StartCom, have not maintained the high standards expected of CAs and will no longer be trusted by Google Chrome

Daß dies niemand bedenklich findet, finde ich arg befremdlich.

@wusel
Vom Discourse gibts wahrscheinlich auch schon lange eine neuere Version. Da beide Programme auf einem Server laufen, liegt es auf der Hand, die Administration der Beiden in eine Hand zu geben.

Google ist da kein Einzelgänger.
Auch Mozilla ist im Boot: CA/WoSign Issues - MozillaWiki
Und sie haben beide gute Gründe.
Wenn du Google nicht vertraust solltest du nicht Google Chrome benutzen, aber mit Firefox wärst du in ein paar Wochen auch nicht besser dran.

Nunja, die DDR hatte auch »gute Gründe«, einen Straftatbestand der ›Republikflucht‹ einzuführen, und unsere aktuelle Regierung hat »gute Gründe«, das Konstrukt des ›Gefährders‹ einzuführen. Und auch ich habe »gute Gründe«, jeden, der mir nachts unerwartet in meinen vier Wänden über den Weg läuft, präventiv vom Leben zum Tode zu befördern; allein, das ist eigentlich nicht so, wie unser Rechtssystem funktioniert. Eigentlich klagt man vermeintlich falsches Verhalten an, dann entscheidet eine – unabhängige – Justiz, und am Ende dieses Prozesses gibt es ein Urteil, und in dessen Abhängigkeit eine Sanktion, oder genau gerade nicht. Das mag bei den Angelsachsen etwas anders sein, aber plumpe Selbstjustiz wie jetzt hier ist selbst dort eher ein no-go.

Schon kraß, daß alteingesessene, aktive Freifunker nicht einmal kurz reflektieren, was hier eigentlich gerade passiert und stattdessen mit dem Argument von »guten Gründen« versuchen, sich und anderen diesen Paradigmenwechsel schön zu reden. Puh. Und: Schade.

FTR: Mich betrifft das nicht, ich bin auf FF v47 und bleibe erstmal dort; mein Chrome v57 frißt das WoSign-Zertifikat von https://forum.freifunk.net noch, und nach der erlangten Information werde ich nun auch Chrome nicht mehr aktualisieren. Aus meiner Sicht ist die willkürliche Ausgrenzung beliebiger CAs Machtmißbrauch und gerade im Freifunk-Umfeld hätte ich kritische Stimmen erwartet. I stand corrected.

Meine Güte immer direkt mit dem Hammer draufhauen

Ganz langsam: Ich vertraue Google nicht und stehe dem Thema nicht vollkommen unkritisch gegenüber. Ich hatte meine Zweifel und habe mir die Seite von Mozilla durchgelesen und die Fakten aus diversen Quellen überprüft und wurde davon überzeugt dass dem WoSign ziemlichen Mist gebaut hat.

Den Webbrowser nicht zu aktualisieren ist eine ganz schlechte Idee bei der Menge an neu entdeckten code execution Lücken heutzutage. Wenn du weiterhin WoSign-Zertifikate im Chrom(e/ium) benutzen willst solltest du dir den aktuellen Chromium mit modifizierten Quellen selber kompilieren: Get the Code: Checkout, Build, & Run Chromium - The Chromium Projects
Achtung: dauert 'ne Weile!

@system, @MPW, @Markus, @stefan, @Florian, @jbacksch, @anon68922371 wäre jemand so nett die letzten 3 Posts und diesen in ein neues Thema zu verschieben?

So wie ich das Thema sehe, habe ich als Benutzer keine Möglichkeit diesen Root-Zertifikaten dennoch zu trauen (?)

Falls dem so ist geht das gar nicht - der Anwender hat immer noch die endgültige Entscheidung zu fällen. Google darf gerne von irgendwas abraten und Defaulteinstellungen zu Gunsten von mehr Sicherheit verändern. Aber der Anwender muss immer die Möglichkeit haben, seinen eigenen Level von Sicherheit zu fahren.

@wusel wie wäre denn dein Ansatz, mit CAs umzugehen, die trotz Mahnungen wiederholt durch Schlamperei aufgefallen sind? Wenn das nicht in irgendeiner Form geahndet wird, dann kann man sich das ganze Zertifikatssystem gleich schenken.

Es geht hier um Geld, Geld von Endkunden, die für das Zertifikat (an WoSign/Startcom) zahlten. Da finde ich es nicht akzeptabel, daß Browserhersteller willkürlich Firmen, die z. T. auch faktisch Konkurrenten sind, ausgrenzen.

Es muß ein Verfahren geben, bei dem sowas gemeinsam zu für allen gleichen Bedingungen beschlossen wird, sonst »kann man sich das ganze Zertifikatssystem gleich schenken«, ja. Und ein solches Verfahren existiert AFAIK nicht, ebensowenig, wie es ein Verfahren gibt, welches z. B. Google an genau diesem Verhalten hindert. Und es gibt keinen Hebel, Branchengrößen wie Google, Apple oder Microsoft, die für ihr Ökosystem auch der maßgebliche Browserhersteller sind, bezüglich Zertifikaten zu irgendetwas zu ›bewegen‹, oder übersehe ich was?

Halten wir mal fest, was offenbar vorgefallen ist:

• Es gelang jemandem aufgrund mangelhafter Checks seitens WoSign ein Zertifikat für eine Github-Domain auszustellen
• WoSign hat sich geweigert, dieses sowie 32 weitere auf ähnliche Weise erstellte Zertifikate für ungültig zu erklären
• WoSign hat Zertifikate absichtlich zurückdatiert, um länger SHA1 einsetzen zu können
• WoSign hat StartCom übernommen, ohne darüber zu informieren

Deswegen sind sie dann bei Mozilla, Apple und Google rausgeflogen. Von Willkür kann da in meinen Augen nun wirklich keine Rede sein.
Vor dem Hintergrund, dass es hier um die Sicherheit der Browsernutzer geht, kann ich deinen Standpunkt nicht richtig nachvollziehen, in der Vehemenz schon gar nicht. Da kann sollte man keine Kompromisse eingehen. Für die Kunden von WoSign mag das ärgerlich sein, aber da muss WoSign dann eben zusehen, wie die für ihre Kunden neue Zertifikate organisiert bekommen (z. B. durch eine Kooperation mit einer anderen CA) oder denen das Geld erstatten.

Danke für den Link (lokale Hervorhebung):

Diesen Vorfall meldete der Zertifikats-Herausgeber offenbar nicht an die Browser-Hersteller, von deren Gunst die CAs jedoch abhängig sind: Mozilla entscheidet etwa, welche CAs der Firefox-Browser als vertrauenswürdig einstuft.

Bingo.

Das Verhalten entspricht wortwörtlich der Definition lt. Duden (lokale Hervorhebung):

die allgemein geltenden Maßstäbe, Gesetze, die Rechte, Interessen anderer missachtendes, an den eigenen Interessen ausgerichtetes und die eigene Macht nutzendes Handeln, Verhalten

Machen wir uns also nichts vor, es gibt keine »guten« oder »schlechten« CAs, es gibt nur von des Browserherstellers Gnaden abhängige, da im Browser eingetragene, CAs.

Oh, »man« kann, wenn man Google ist und der Gegner nicht eine olle Butze in China, sondern ein US-Unternehmen, das für 30+% der weltweiten Zertifikate steht: Google takes Symantec to the woodshed for mis-issuing 30,000 HTTPS certs [updated] | Ars Technica

On the basis of the details publicly provided by Symantec, we do not believe that they have properly upheld these principles, and as such, have created significant risk for Google Chrome users. Symantec allowed at least four parties access to their infrastructure in a way to cause certificate issuance, did not sufficiently oversee these capabilities as required and expected, and when presented with evidence of these organizations’ failure to abide to the appropriate standard of care, failed to disclose such information in a timely manner or to identify the significance of the issues reported to them.

These issues, and the corresponding failure of appropriate oversight, spanned a period of several years, and were trivially identifiable from the information publicly available or that Symantec shared.

Allein, »site:security.googleblog.com Symantec« zeigt dazu … nichts. Obwohl auch da seit 2015 »Diskussionsbedarf« besteht. Komischer Zufall.

Kurzum: mit dem FDP-Credo, der Markt regele das schon, kommen wir hier nicht weiter. Verisign/Symantec hat vermutlich eine Google ebenbürtige Schar an US-Juristen unter Vertrag, anders als Ausländer wie WoSign. Insofern kickt Google hier nicht die ausgestellten Zertifikate, dort schon. Kann man manchen, ist dann aber eben willkürlich. Q. E. D.

Aber selbst, falls Google und Mozilla (und Apple) soviel Arsch in der Hose fänden, (auch) Verisign-Zertifikate über Nacht zu nihilieren: das zugrundeliegende System ist mindestens willkürfreundlich und die Attitüde »es ist mein Code und ich bestimme, wer da wie reinkommt« kann die Zivilgesellschaft für Kernkomponenten wie den Browser doch in 2017 nicht ernsthaft akzeptieren?!

Meinetwegen kann man es dann willkürlich nennen, aber ich finde nicht in dem Sinne, dass das Verhalten von Google, Mozilla und Apple jeglicher Grundlage entbehrt. Ich halte es für richtig und nachvollziehbar.

Für mich ist der Unterschied zwischen WoSign und Symantec, dass WoSign nicht nur fahrlässig gehandelt hat, sondern sich zusätzlich nicht kooperativ gezeigt (Zertifikate nicht zurückgezogen) und mit Absicht die SHA1-Warnung umgangen hat, indem Zertifikate zurückdatiert wurden. Symantec hingegen hat immerhin reagiert und Zertifikate zurückgezogen. Nun kann man darüber streiten, ob das die Ungleichbehandlung rechtfertigt, letztendlich wird aber auch Symantec gekickt. Nicht direkt, aber phasenweise.

Mir ist allerdings immer noch nicht ganz klar, was dein Rant bezwecken soll. Ich als Browsernutzer möchte keine unsicheren CAs haben, denn das kompromittiert das ganze System. Wenn dir das nicht gefällt, dann kannst du Chromium oder Firefox forken und glücklich sein…nur würde so einen Fork, der laxere Sicherheit implementiert hat, wohl kaum jemand nutzen und die fahrlässigen CAs somit so oder so verschwinden.
Man könnte nun dafür votieren, dass die Browserhersteller Richtlinien erarbeiten, wie mit CAs umgegangen wird, aber diese würden (hoffentlich) eher strenger als das bisherige Verfahren ausfallen. Im Sinne der Sicherheit wäre das jedoch durchaus begrüßenswert.

Nun, was wunder: ich nicht, denn …

… kaum eins der massenhaft nun ausgesonderten Zertifikate ist unsicherer als vorgestern, genauer: bevor der diese CA nun ablehnende Browser erschien. Andererseits, gegen die illegitim Zertifikate für google.com ausstellende CA – Symantec –, geht Google eben nicht so rabiat vor.
Welche CA ist nun unsicherer für Dich als Browsernutzer; die, die dank 30+% Marktanteil faktisch ungestraft falsche Zertifikate ausstellen darf oder eine chinesische Randgruppen-CA, deren Zukauf schon kostenlose Zertifikate DV-Zertifikate ausstellte, als LE noch im Planungsstadium war?

Was Google hier praktiziert, ist nichts anderes als Sippenhaft: einer Deiner Verwandten war böse, also bis auch Du, Zertifikat 21:66:BD:98:6F:4C:26:E3:21:AF:E2:3B:59:3F:FA:6B für forum.freifunk.net, nun böse.
Und warum? Weil Google es sich leisten kann, WoSign/Startcom-Kunden und deren Besucher zu vergraulen, das tut der Chrome-Userbase nicht weh; anders, als wenn man den Zugang zu 30+% der verschlüsselten Sites unterbände. Da verlöre Googles Chrome-Browser zwangsläufig Marktanteile, denn dem Endnutzer ist das »warum« letztlich egal, wenn er/sie/es nicht mehr auf »bild.de« zugreifen kann (auch bild.de nutzt ein Zertifikat von Thawte, Teil der Symantec-Gruppe).

Es fehlt an Regeln — und Institutionen, die diese Regeln forcieren könnten. Es wird jetzt an WoSign/Startcom ein Exempel statuiert, weil es nicht weh’ tut. Symantec-EV-Zertifikate nicht mehr als solche zu behandeln hingegen: seriously, wer merkt das überhaupt, solange da weder eine Browserwarnung kommt und das grüne Schloß grün und geschlossen bleibt?!

Kurzum: die Argumente, warum CA A so und CA B anders behandelt wird, sind fadenscheinig und ich denke daher nicht, daß man dieses Gebahren auch noch unterstützen sollte, gerade als Freifunker nicht. Die SSL-Industrie hat einen Haufen an Baustellen, aber WoSign/Startcom auszugrenzen, Symantec aber ungeschoren zu lassen, bedient keine davon.

Ich diskutiere ja gerne auf Basis vernünftiger Argumente, aber das

stimmt so nicht. Mich wundert es, dass du einerseits wert auf präzisen Sprachgebrauch legst, wenn du meinen Standpunkt betrachtest (was ja durchaus richtig ist), aber andererseits dann sowas vom Stapel lässt. Das weckt dann eher Assoziationen an Rumpelstilzchen Nachdem du jetzt abermals kräftig mit dem Fuß aufgestampft hast, kann man ja vielleicht wieder inhaltlich diskutieren. In meinem letzten Beitrag habe ich geschrieben, wo ich die Unterschiede sehe (Vorgehen mit Vorsatz und unkooperatives Verhalten vs fahrlässiges Verhalten) und dass man durchaus darüber diskutieren kann, inwiefern das nun eine Ungleichbehandlung rechtfertigt. Ebenso, dass eine Erarbeitung gemeinsamer strenger Richtlinien durchaus zu begrüßen wäre.

Nebenbei bemerkt: Dass du hier andere aufgrund einer anderen Ansicht, was dieses Thema betrifft, gleich bedauerst, finde ich bedenklich. Freunde schafft man sich so nicht.

Du hast das wort Wartung verlinkt

In meinen Augen bist du mit diesem Thread auf pRiVi Niveau abgesacktt

Hmm. Warum auch immer, die Antwort per Mail wurde nicht veröffentlicht. Dann halt per cut&paste:

stimmt so nicht.[/quote]

Wie schon gesagt, aus meiner Sicht ist die Rückstufung von EV praktisch irrelevant, ich gehe davon aus, daß der Mehrzahl der Nutzer der Unterschied zumindest nicht geläufig ist: Grünes Schloß, also alles sicher.
Und die angekündigte Verkürzung der akzeptierten Laufzeit ändert auch nichts dran, daß Symantec-CAs falsche Zertifikate ausgestellt haben und dies wieder tun könnten. Bezogen auf den Schutz der Nutzer ist es ein Sturm im Wasserglas. Nur ein »Distrust« würde die Gefahr bannen — und ob der Auswirkungen vielleicht das Moment erzeugen, das für grundlegende Verhaltungsänderungen bei CAs notwendig wäre.

Soviel zum Thema ›Freunde gewinnen‹

Und ich sehe diese Unterschiede eben nicht: Beide CAs haben, wiederholt und gravierend, sich nicht an die Regeln gehalten – denen sie sich wohl selbst unterworfen haben, um Bytes zu Geld zu machen.

Zum Fall Symantec schreibt Golem [1]: »Insgesamt vier Firmen hatten Kontrolle über die Infrastruktur von Symantec, konnten Zertifikate ausstellen und wurden dabei über Jahre hinweg nicht hinreichend kontrolliert. Von diesen vier Firmen wurden insgesamt mindestens 30.000 Zertifikate ausgestellt. Offenbar ist es jedoch technisch nicht feststellbar, welche Zertifikate davon betroffen sind - sie sind identisch mit anderen von Symantec ausgestellten Zertifikaten.«

Wie man das persönlich bewertet, muß jeder für sich ausmachen. Google schreibt in [2]:

We trust root certificate authorities to properly perform the following tasks:

• Verify the identity of the requester to the extent dictated by the type of certificate (for example, domain control for server certs, full identity and organizational affiliation for EV certs).
• Ensure that there is no way to issue a certificate without a permanent record.
• Keep unalterable logs of all certificates signed by their CA.
• Audit those logs frequently for evidence of unauthorized issuance
• In the event of the mis-issuance of a certificate, proactively 1) communicate that to any parties that might be affected, and 2) revoke any mis-issued certificates, and publish notice of that revocation.
• Protect their infrastructure so as to minimize the chance that an intruder could gain access and issue fraudulent certs.
• In the event of a broader compromise, conduct a full post-mortem, and publicly publish the findings and plans for remediation of all problems, in addition to contacting the organizations directly.

[…] It is imperative that a user of Google Chrome can be confident that when proper SSL indications are shown in the browser, the user is in fact communicating with the intended site and not an attacker or other man-in-the-middle using a root certificate obtained improperly from a CA. Anything that contravenes this principle, including issuance of certificates for a website to a party other than the legitimate operator of that website, or delegation of authority that results in the issuance of certificates for a website to a party other than the legitimate operator of that website, is a serious violation of trust that will be dealt with in accordance to this policy.

Nimmt man das mit Aussagen wie in [3], ist ein »Distrust« unumgänglich, wenn man nicht mit zweierlei Maß mißt: »As demonstrated through the information provided, these four entities did not follow the appropriate practices or did not possess the appropriate and necessary audits from the appropriate parties. Symantec has acknowledged they were actively aware of this for at least one party, failed to disclose this to root programs, and did not sever the relationship with this party.«

Was das mit Rumpelstilzchen zu tun haben soll, verstehe ich nicht. Das man eine andere Auffassung vertritt, »wird man doch wohl noch sagen dürfen?«

Google jedenfalls gibt sich als Schützer der Nutzer [4]: »Google has determined that two CAs, WoSign and StartCom, have not maintained the high standards expected of CAs and will no longer be trusted by Google Chrome, in accordance with our Root Certificate Policy.«

Aus meiner Sicht hat sich Symantec nun einmal qualitativ nicht weniger uneinsichtig und unzuverlässig gezeigt als WoSign, und dennoch wird nicht mit gleicher Kelle ausgeteilt gegen den Platzhirsch mit 30+% Marktanteil. Damit wird das Vorgehen aus meiner Sicht schlicht willkürlich und daher illegitim.

So, bin gespannt, wie Discourse das umsetzt [EDIT: ja leider gar nicht. Tut Mail2Discourse mal wieder nicht?]

[1] Golem.de: IT-News für Profis
[2] Chrome Root Program Policy, Version 1.4
[3] Redirecting to Google Groups
[4] Google Online Security Blog: Distrusting WoSign and StartCom Certificates