Öppet brev till Netclean
Hej listan, Ikväll postades ett öppet brev till Netcleans VD på hemsidan: https://www.dfri.se/oppet-brev-till-christian-berg-vd-netclean/ Vänligen, Martin
2014-07-02 23:04 GMT+02:00 Martin Millnert <martin@millnert.se>:
Ikväll postades ett öppet brev till Netcleans VD på hemsidan: https://www.dfri.se/oppet-brev-till-christian-berg-vd-netclean/
Tycker det här utdraget är intressant:
Det påstås att NetClean kan radera information på andras servrar. Detta är vare sig korrekt eller tekniskt möjligt att göra med NetCleans lösningar. Det har även funnits påståenden om att NetClean kan blockera enskilda tweets på Twitter, något som inte heller är tekniskt möjligt (se mer information under Bakgrundsfakta nedan).
Vet inte vem som påstått att de kan radera information från andras servrar. Blockera enskilda inlägg på olika sociala nätverk kan jag dock tänka mig går att genomföra. Bakgrundsfakta:
Om SSL (Secure Sockets Layer) trafik Webbtrafik till bland annat Twitter, Google och Facebook är krypterad med SSL/TLS (Transport Layer Security). Det gör att all trafik till och från sidan är krypterad och för att kunna blockera enskilda sidor eller tweets så måste trafiken dekrypteras. Detta är möjligt att göra inom organisationer, men för att kunna blockera dessa sidor selektivt, till exempel blockera enskilda tweets inom ett land, måste man utnyttja en CA (Certificate Authority = utfärdare av certifikat). Sådana finns listade i de större webbläsarna som t ex Chrome, Internet Explorer eller Firefox för att klara av dekryptering av trafiken. Turkiet kontrollerar förvisso flera sådana utfärdare, men ett missbruk skulle leda till att dessa CA-utfärdare skulle tas bort från webbläsarna och blockering skulle sluta fungera. Det är därför praktiskt omöjligt att blockera trafik till SSL sidor.
Det är alltså fullt möjligt i Netcleans ögon, så länge browsers har dessa CA:s som Turkiet kontrollerar. Hur ofta tas en CA bort från browsers? Finns alternativ? Kan man tänka sig att implementera någon form av certificate pinning[1] på bredare front? -joelpurra.com [1] https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning [1] https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning#No_Relati...
2014-07-03 10:40 GMT+02:00 Joel Purra <mig@joelpurra.se>:
Tycker det här utdraget är intressant:
Glömde visst länken till Netcleans pressmeddelande, som har texten jag referar till. http://www.mynewsdesk.com/se/netclean_technologies/pressreleases/netcleans-l...
-joelpurra.com
2014-07-03 10:40 GMT+02:00 Joel Purra <mig@joelpurra.se>:
2014-07-02 23:04 GMT+02:00 Martin Millnert <martin@millnert.se>:
Det är alltså fullt möjligt i Netcleans ögon, så länge browsers har dessa CA:s som Turkiet kontrollerar. Hur ofta tas en CA bort från browsers?
Det sker väl lite då och då. T ex togs CAcert bort ur FreeBSD för ett tag sedan och ur Ubuntu och Debian nyligen. [0] I Debian gick det en diskussion om att när CAcert togs bort (för att de inte verifierar identit tillräckligt tror jag) att även andra stora CAs borde tas bort för de signerar vad som helst som skickar pengar. De här stora CA tas inte bort för då blir besök på www med Debian totaldrygt för användarna som möts av NOT TRUSTED hela tiden. Stora CA är alltså för too big to fail och fortsätter att skeppas trots att de inte sköter sig enligt CA-policies osv.
Finns alternativ? Kan man tänka sig att implementera någon form av certificate pinning[1] på bredare front?
Monkeysphere [1] är ett alternativ som använder OpenPGP web of trust för att verifiera identitet. [0] https://en.wikipedia.org/wiki/CAcert#Inclusion_status [1] http://web.monkeysphere.info/ -- Per -- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri Listpolicy: https://www.dfri.se/regler-for-listan
Hej, Om man använder sina egna CA:s och blir påkomna kommer dessa åka ur trust-bundlen snabbare än vi hinner blinka, detta för att den typen av aktiviteter raserar hela trustmodellen. Mest talande är Diginotar-fallet, som tog med sig holländska e-legitimationer i fallet. De kanske kommer undan en gång med att göra det, men inte fler. Detta har dock redan hänt i fallet med turk trust, när de "råkade" utfärda gmail.com. Kolla annars: https://www.securelist.com/en/blog/208194063/TURKTRUST_CA_Problems /andreas On 2014-07-03 21:57, Per Andersson wrote:
2014-07-03 10:40 GMT+02:00 Joel Purra <mig@joelpurra.se>:
2014-07-02 23:04 GMT+02:00 Martin Millnert <martin@millnert.se>:
Det är alltså fullt möjligt i Netcleans ögon, så länge browsers har dessa CA:s som Turkiet kontrollerar. Hur ofta tas en CA bort från browsers?
Det sker väl lite då och då. T ex togs CAcert bort ur FreeBSD för ett tag sedan och ur Ubuntu och Debian nyligen. [0]
I Debian gick det en diskussion om att när CAcert togs bort (för att de inte verifierar identit tillräckligt tror jag) att även andra stora CAs borde tas bort för de signerar vad som helst som skickar pengar. De här stora CA tas inte bort för då blir besök på www med Debian totaldrygt för användarna som möts av NOT TRUSTED hela tiden. Stora CA är alltså för too big to fail och fortsätter att skeppas trots att de inte sköter sig enligt CA-policies osv.
Finns alternativ? Kan man tänka sig att implementera någon form av certificate pinning[1] på bredare front?
Monkeysphere [1] är ett alternativ som använder OpenPGP web of trust för att verifiera identitet.
[0] https://en.wikipedia.org/wiki/CAcert#Inclusion_status [1] http://web.monkeysphere.info/
-- Per
-- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri Listpolicy: https://www.dfri.se/regler-for-listan
Förlåt om det här är ett kraftfullt slag i luften, ,men är det inte dags att bygga infrastruktur som underlättar att fler utfärdar sina egna cert? Med PGP så gör man ju sitt eget nyckelpar, behövs ingen digital notarie för att jag ska lita på Andreas eller Joel. Om man tar ett kapitalistiskt perspektiv så borde ju t.ex. DN.SE vara intresserade av att deras annonsörer exponeras till dom som DN har lovat. YouTube som exempel gör det kanske svårare att förstå att det handlar om att veta vem man "tittar på"? Eller? Om du och Joel skulle säga till mig (genom nån slags WoT) att jag kan lita på att DN.SE verkligen är DN.SE så slipper ju .SE göra det, eller hur? Det känns helt rimligt samhällsekonomiskt att distribuerad tillit är bra för alla. Så varför inte investera i det då? //Erik ________________________________________ From: Andreas Jonsson [andreas@romab.com] Sent: Thursday 3 July 2014 22:45 To: listan@lists.dfri.se Subject: Re: [DFRI-listan] Öppet brev till Netclean Hej, Om man använder sina egna CA:s och blir påkomna kommer dessa åka ur trust-bundlen snabbare än vi hinner blinka, detta för att den typen av aktiviteter raserar hela trustmodellen. Mest talande är Diginotar-fallet, som tog med sig holländska e-legitimationer i fallet. De kanske kommer undan en gång med att göra det, men inte fler. Detta har dock redan hänt i fallet med turk trust, när de "råkade" utfärda gmail.com. Kolla annars: https://www.securelist.com/en/blog/208194063/TURKTRUST_CA_Problems /andreas On 2014-07-03 21:57, Per Andersson wrote:
2014-07-03 10:40 GMT+02:00 Joel Purra <mig@joelpurra.se>:
2014-07-02 23:04 GMT+02:00 Martin Millnert <martin@millnert.se>:
Det är alltså fullt möjligt i Netcleans ögon, så länge browsers har dessa CA:s som Turkiet kontrollerar. Hur ofta tas en CA bort från browsers?
Det sker väl lite då och då. T ex togs CAcert bort ur FreeBSD för ett tag sedan och ur Ubuntu och Debian nyligen. [0]
I Debian gick det en diskussion om att när CAcert togs bort (för att de inte verifierar identit tillräckligt tror jag) att även andra stora CAs borde tas bort för de signerar vad som helst som skickar pengar. De här stora CA tas inte bort för då blir besök på www med Debian totaldrygt för användarna som möts av NOT TRUSTED hela tiden. Stora CA är alltså för too big to fail och fortsätter att skeppas trots att de inte sköter sig enligt CA-policies osv.
Finns alternativ? Kan man tänka sig att implementera någon form av certificate pinning[1] på bredare front?
Monkeysphere [1] är ett alternativ som använder OpenPGP web of trust för att verifiera identitet.
[0] https://en.wikipedia.org/wiki/CAcert#Inclusion_status [1] http://web.monkeysphere.info/
-- Per
-- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri Listpolicy: https://www.dfri.se/regler-for-listan -- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet pÃ¥ internet. Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri Listpolicy: https://www.dfri.se/regler-for-listan
Ta och kika på DANE[1] eller Convergence[2]. /P 1. http://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities 2. http://convergence.io/ On 6Jul, 2014, at 17:11 , JOSEFSSON Erik <erik.josefsson@europarl.europa.eu> wrote:
Förlåt om det här är ett kraftfullt slag i luften, ,men är det inte dags att bygga infrastruktur som underlättar att fler utfärdar sina egna cert?
Med PGP så gör man ju sitt eget nyckelpar, behövs ingen digital notarie för att jag ska lita på Andreas eller Joel.
Om man tar ett kapitalistiskt perspektiv så borde ju t.ex. DN.SE vara intresserade av att deras annonsörer exponeras till dom som DN har lovat. YouTube som exempel gör det kanske svårare att förstå att det handlar om att veta vem man "tittar på"? Eller?
Om du och Joel skulle säga till mig (genom nån slags WoT) att jag kan lita på att DN.SE verkligen är DN.SE så slipper ju .SE göra det, eller hur?
Det känns helt rimligt samhällsekonomiskt att distribuerad tillit är bra för alla.
Så varför inte investera i det då?
//Erik
________________________________________ From: Andreas Jonsson [andreas@romab.com] Sent: Thursday 3 July 2014 22:45 To: listan@lists.dfri.se Subject: Re: [DFRI-listan] Öppet brev till Netclean
Hej, Om man använder sina egna CA:s och blir påkomna kommer dessa åka ur trust-bundlen snabbare än vi hinner blinka, detta för att den typen av aktiviteter raserar hela trustmodellen. Mest talande är Diginotar-fallet, som tog med sig holländska e-legitimationer i fallet.
De kanske kommer undan en gång med att göra det, men inte fler. Detta har dock redan hänt i fallet med turk trust, när de "råkade" utfärda gmail.com.
Kolla annars: https://www.securelist.com/en/blog/208194063/TURKTRUST_CA_Problems
/andreas
On 2014-07-03 21:57, Per Andersson wrote:
2014-07-03 10:40 GMT+02:00 Joel Purra <mig@joelpurra.se>:
2014-07-02 23:04 GMT+02:00 Martin Millnert <martin@millnert.se>:
Det är alltså fullt möjligt i Netcleans ögon, så länge browsers har dessa CA:s som Turkiet kontrollerar. Hur ofta tas en CA bort från browsers?
Det sker väl lite då och då. T ex togs CAcert bort ur FreeBSD för ett tag sedan och ur Ubuntu och Debian nyligen. [0]
I Debian gick det en diskussion om att när CAcert togs bort (för att de inte verifierar identit tillräckligt tror jag) att även andra stora CAs borde tas bort för de signerar vad som helst som skickar pengar. De här stora CA tas inte bort för då blir besök på www med Debian totaldrygt för användarna som möts av NOT TRUSTED hela tiden. Stora CA är alltså för too big to fail och fortsätter att skeppas trots att de inte sköter sig enligt CA-policies osv.
Finns alternativ? Kan man tänka sig att implementera någon form av certificate pinning[1] på bredare front?
Monkeysphere [1] är ett alternativ som använder OpenPGP web of trust för att verifiera identitet.
[0] https://en.wikipedia.org/wiki/CAcert#Inclusion_status [1] http://web.monkeysphere.info/
-- Per
-- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri Listpolicy: https://www.dfri.se/regler-for-listan
-- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri Listpolicy: https://www.dfri.se/regler-for-listan
participants (6)
-
Andreas Jonsson -
Joel Purra -
JOSEFSSON Erik -
Martin Millnert -
Per Andersson -
Peter Norin