Google wil dat alle websites aan Certificate Transparency standaard gaan voldoen

  1. 31 okt 2016
  2. 0 reacties

encryptie-groot

Google kondigt aan vanaf oktober 2017 een Certificate Transparency beleid te gaan hanteren in de webbrowser Chrome. Deze nieuwe standaard maakt het mogelijk websites met een onjuist SSL-certificaat automatisch te detecteren en labelen.

SSL-certificaten geven gebruikers de mogelijkheid de legitimiteit van een website te controleren en zeker te stellen dat zij niet met bijvoorbeeld een phishingwebsite te maken hebben. Cybercriminelen gebruiken steeds vaker gestolen of foute SSL-certificaten om het malafide karakter van hun websites te verbergen. Dit probleem wordt onder andere veroorzaakt door Certificate Authorities (CA’s) die onzorgvuldig omspringen met SSL-certificaten. Zo kreeg de Britse programmeur Gervase Markham in augustus nog door de CA WoSign een SSL-certificaat van GitHub toegewezen.

Door een Certificate Transparency beleid te introduceren in de webbrowser Chrome wil Google dit tegengaan. De webbrowser gaat websites die niet aan de standaard voldoen automatisch als onbetrouwbaar beoordelen. In de praktijk betekent dit dat Google Certificate Authorities (CA’s) dwingt te voldoen aan de Certificate Transparency standaard om te voorkomen dat websites van hun klanten als onbetrouwbaar worden beoordeeld.

Lees ook
Autoriteit Persoonsgegevens waarschuwt dat gebruikt van SSLv2 mogelijk in strijd is met Wet bescherming persoonsgegevens

Autoriteit Persoonsgegevens waarschuwt dat gebruikt van SSLv2 mogelijk in strijd is met Wet bescherming persoonsgegevens

In het protocol SSLv2 is vorige week het “DROWN” (Decrypting RSA with Obsolete and Weakened eNcryption) lek aangetroffen, dat aanvallers de mogelijkheid geeft versleutelde verbindingen kunnen kraken. Bedrijven die ondanks dit lek gebruik blijven maken van SSLv2 overtreden hiermee mogelijk de Wet bescherming persoonsgegevens (Wbp). Dit stelt de Aut1

Teveel organisaties vertrouwen blindelings op SSL/TLS-certificaten en sleutels

Teveel organisaties vertrouwen blindelings op SSL/TLS-certificaten en sleutels

Heartbleed, LogJam, FREAK, Superfish en nu ook DROWN laten zien dat teveel mensen en organisaties blindelings vertrouwen op SSL/TLS-certificaten en sleutels. Volgens security-experts zijn maar liefst 33% van alle webservers via de DROWN-kwetsbaarheid aan te vallen. Kevin Bocek, Vice President Security Strategy & Threat Intelligence van Venafi,1

Let’s Encrypt verstrekt SSL-certificaat aan malafide website

Let’s Encrypt verstrekt SSL-certificaat aan malafide website

Het Let’s Encrypt project verstrekt gratis SSL-certificaten aan beheerders. Het project heeft als doel het gehele internet te voorzien van SSL-certificaten en internet daarmee veiliger te maken. Ook cybercriminelen maken inmiddels echter gebruik van Let’s Encrypt. Hiervoor waarschuwt beveiligingsbedrijf Trend Micro. Let’s Encrypt is een initiatief1