Bojkotten av GoDaddy pga #SOPA – sluta lita på certifikaten!

Update 2011-12-23 21:53 CET: GoDaddy återtog sitt stöd för SOPA. Det betyder förvisso att massuppror kan leda till förändring – men jag hade inte litat på företaget bara för att de är rädda att tappa kunder.

Såhär skriver de om återtagandet: “Fighting online piracy is of the utmost importance, which is why Go Daddy has been working to help craft revisions to this legislation” => De anser fortfarande att kopiering är viktigt att bekämpa, vilket gör att de är farliga för internets karaktär och utveckling. De avslutar med: “Go Daddy has always fought to preserve the intellectual property rights of third parties, and will continue to do so in the future,”

—-

Många rapporterar om GoDaddys stöd för SOPA som får kunderna att lämna dem. SOPA är det amerikanska lagförslaget som är det största hotet mot internet sedan västvärlden började efterapa Kinas censureringsmetoder. För en kort musikvideo om SOPA som du kan spela i bakgrunden medan du läser detta inlägg har Dan Bull producerat följande:

Häromdagarna skrev jag om SSL-certifikat och hur jag inte litar på främlingar bara för att någon annan litar på dem. Här kan vi nu – förutom en massa regeringar och okända företag – slänga in GoDaddy i högen av opålitliga certifikatutfärdare. Så här kommer en guide till hur man tar bort åtminstone ens webläsares automatiska förtroende i detta företag!

I en svensk GNU/Linux-miljö (t.ex. sv_SE-locale för Gnome Shell i Ubuntu) med Firefox gör man i alla fall såhär – och givetvis varierar det mellan webläsare etc. etc. I Windows (och OS X?) har man dessutom “Inställningar”-grejen under Verktyg:

  • Leta dig fram till Firefox-inställningarna.
  • Under Avancerat följt av fliken Kryptering, välj att Visa certifikat.
  • Fliken Utfärdare kommer att ge dig en lång lista. Här finns två stycken separata rader med GoDaddy, varav en hittas på G med företagets namn. Den andra heter The Go Daddy Group, Inc.
  • Markera respektive av dessa (håll t.ex. in Ctrl och markera flera). Tryck därefter på Ta bort eller misstro för de certifikat du vill sluta lita på!
  • Som Henry Rouhivuori kommenterar nedan så försvinner inte utfärdarna från listan om man öppnar inställningspanelen på nytt. Markerar ni dem däremot och väljer “Redigera tillit” ser ni – efter att ha misstrott utfärdaren – att denne inte längre har rätt att utfärda certifikat för webbplatser.

Sidor som använder GoDaddys SSL-certifikat idag och borde byta bort av principiella skäl: Flashbacks forum, Gravatar, WordPress + bloggar (…fyll gärna på genom att tipsa bland kommentarerna nedan)

Och nu när du ändå håller på att göra något för webbsäkerhet och öppet internet, passa på att spana in CAcert.org-projektet! Det är en “web of trust”-modell för SSL-certifikat byggd på fri mjukvara och demokrati, till skillnad från GoDaddy som bara tar betalt och så ska man lita på att det sköts korrekt. Är du en webmaster kan du stödja genom att skaffa konto – är du bara en vanlig dödlig räcker det med att installera deras root-certifikat!

Har du en känsla för säkerhet och kryptering kan du vilja veta att CAcerts fingeravtryck på certifikatet är:

Fingerprint SHA1: AD:7C:3F:64:FC:44:39:FE:F4:E9:0B:E8:F4:7C:6C:FA:8A:AD:FD:CE
Fingerprint MD5: F7:25:12:82:4E:67:B5:D0:8D:92:B7:7C:0B:86:7A:42

11 thoughts on “Bojkotten av GoDaddy pga #SOPA – sluta lita på certifikaten!”

    1. Ja, på sätt och vis. De hamnar i listan igen, men om du väljer att “Redigera tillit” för dem ser du att de _inte_ har rätt att utfärda certifikat “för webbplatser” t.ex.

      Det här kommer av att Go Daddy m.fl. är med i Mozilla’s (och flera andras) standard-paket över “certificate authorities”. Så vad Firefox väljer att göra är att bara ta bort förtroendet istället för att ta bort hela certifikatfilen. Detta så man inte av misstag uppdaterar webläsaren och får med certifikatfilerna på köpet .)

  1. För att göra detta komplett borde man egentligen även ta bort certifikatet ur ens operativsystems certifikatdatabas (webläsaren har alltsom oftast en helt separat). Det är dock jobbigare att beskriva, och dessutom krångligare att återställa.

    Men för principsaken och det demonstrativa syftet är ovanstående beskrivning godtagbar i mina ögon!

    1. CAcert heter organisationen (inte bara CA .P) och jag rekommenderar varmt deras tjänst för att t.ex. generera egna certifikat mellan servrar etc.

      De har ett bra system för att hantera utfärdande, “OCSP” för att kolla återtagna certifikat etc. Så om man t.ex. sätter upp egen mailserver, webserver, databasserver etc. som ska kommunicera sinsemellan är det skitsmidigt redan där. Eller för att betatesta ens egna sidor, sätta upp intranät eller mindre communities.

      Om CAcert hamnar i någon av de stora webläsarnas utfärdardatabas vore det en stor vinst för demokratiseringen av status quo-säkerhet på internet. För då behöver inte varje enskild människa installera det själv bara för att kunna surfa in på en sida som hellre litar på demokratiska incitament än ekonomiska!

      1. “Om CAcert hamnar i någon av de stora webläsarnas utfärdardatabas vore det en stor vinst för demokratiseringen av status quo-säkerhet på internet.”

        Det vore kanonbra, men för att komma med där så måste man bli certifierad och det kostar en mille…

  2. Länken går till CAcerts class 1 certifikat men fingerprinten är för class 3 certifikatet. Det är class 3 certifikatet som används för att verifiera websiter så det är det man ska ha.

    Jag noterade också att class 1 certifikatet använder sig av MD5 i signeringen så det är inte att lita på eftersom MD5 är seriöst trasigt och MD5 certifkat är knäckta sen flera år tillbaka.

    1. Hm, använder de fortfarande MD5 vid nysignering? Ja det är ju lite dåligt. Hade för mig att de inte gjorde det längre.

      Har nog skrivit de där med fingeravtryck etc. lite för hastigt. Ber om ursäkt för det i så fall – men bra att någon dubbelkollar! Ska kika på det imorgon när jag är lite piggare i huvudet.

      Gällande class3-grejen så är ju den signerad av CAcerts root-cert, vilket gör att om man presenterar en fullständig CA-kedja från webservern räcker det med root.crt i webläsaren! Och många Linuxdistributioner har lagt in CAcert i operativsystemets egen CA-databas. Så det t.ex. funkar med curl/wget etc. (och därigenom t.ex. genom PHP-curl etc. etc.)

Leave a Reply

Your email address will not be published. Required fields are marked *