Tag Archives: cacert

Bojkotten av GoDaddy pga #SOPA – sluta lita på certifikaten!

Update 2011-12-23 21:53 CET: GoDaddy återtog sitt stöd för SOPA. Det betyder förvisso att massuppror kan leda till förändring – men jag hade inte litat på företaget bara för att de är rädda att tappa kunder.

Såhär skriver de om återtagandet: “Fighting online piracy is of the utmost importance, which is why Go Daddy has been working to help craft revisions to this legislation” => De anser fortfarande att kopiering är viktigt att bekämpa, vilket gör att de är farliga för internets karaktär och utveckling. De avslutar med: “Go Daddy has always fought to preserve the intellectual property rights of third parties, and will continue to do so in the future,”

—-

Många rapporterar om GoDaddys stöd för SOPA som får kunderna att lämna dem. SOPA är det amerikanska lagförslaget som är det största hotet mot internet sedan västvärlden började efterapa Kinas censureringsmetoder. För en kort musikvideo om SOPA som du kan spela i bakgrunden medan du läser detta inlägg har Dan Bull producerat följande:

Häromdagarna skrev jag om SSL-certifikat och hur jag inte litar på främlingar bara för att någon annan litar på dem. Här kan vi nu – förutom en massa regeringar och okända företag – slänga in GoDaddy i högen av opålitliga certifikatutfärdare. Så här kommer en guide till hur man tar bort åtminstone ens webläsares automatiska förtroende i detta företag!

I en svensk GNU/Linux-miljö (t.ex. sv_SE-locale för Gnome Shell i Ubuntu) med Firefox gör man i alla fall såhär – och givetvis varierar det mellan webläsare etc. etc. I Windows (och OS X?) har man dessutom “Inställningar”-grejen under Verktyg:

  • Leta dig fram till Firefox-inställningarna.
  • Under Avancerat följt av fliken Kryptering, välj att Visa certifikat.
  • Fliken Utfärdare kommer att ge dig en lång lista. Här finns två stycken separata rader med GoDaddy, varav en hittas på G med företagets namn. Den andra heter The Go Daddy Group, Inc.
  • Markera respektive av dessa (håll t.ex. in Ctrl och markera flera). Tryck därefter på Ta bort eller misstro för de certifikat du vill sluta lita på!
  • Som Henry Rouhivuori kommenterar nedan så försvinner inte utfärdarna från listan om man öppnar inställningspanelen på nytt. Markerar ni dem däremot och väljer “Redigera tillit” ser ni – efter att ha misstrott utfärdaren – att denne inte längre har rätt att utfärda certifikat för webbplatser.

Sidor som använder GoDaddys SSL-certifikat idag och borde byta bort av principiella skäl: Flashbacks forum, Gravatar, WordPress + bloggar (…fyll gärna på genom att tipsa bland kommentarerna nedan)

Och nu när du ändå håller på att göra något för webbsäkerhet och öppet internet, passa på att spana in CAcert.org-projektet! Det är en “web of trust”-modell för SSL-certifikat byggd på fri mjukvara och demokrati, till skillnad från GoDaddy som bara tar betalt och så ska man lita på att det sköts korrekt. Är du en webmaster kan du stödja genom att skaffa konto – är du bara en vanlig dödlig räcker det med att installera deras root-certifikat!

Har du en känsla för säkerhet och kryptering kan du vilja veta att CAcerts fingeravtryck på certifikatet är:

Fingerprint SHA1: AD:7C:3F:64:FC:44:39:FE:F4:E9:0B:E8:F4:7C:6C:FA:8A:AD:FD:CE
Fingerprint MD5: F7:25:12:82:4E:67:B5:D0:8D:92:B7:7C:0B:86:7A:42

Do you trust all your internets to strangers?

Question: Japanese government, Staat der Nederlanden and Starfield Technologies Inc. – what do they all have in common? Answer: You trust all of them to verify identities and security on company websites and internet services.

Are you Japanese or Dutch? Have you ever heard of Starfield Technologies? I guess not. Still you’re probably using a web browser which has these “certificate authorities” as trusted “roots”. In short this means they can – with no security errors whatsoever – impersonate your bank, eavesdrop on your logins and make your computer believe everything is just fine. But only if they were to man-in-the-middle your communication physically or somehow manage to poison your DNS lookups of course.

So the scenario isn’t really your average Joe security issue, but the heart of the issue is a very important one. It’s a question of trust – a deep conviction of truth and rightness – and “trust” – the simple term used for computing security (though without the quotes).

All computer interaction is based on trust. You trust the computer is doing what it tells you it’s doing (which Free software lets you verify). However you also trust the other person’s computer to do what you’re asking it to do – and nothing more! Given the global scale of networking and computing, this is a hard task to verify manually – thus trust is given to cryptographic algorithms mathematically ensuring your data is handled by the correct entities without unwanted manipulation.

No ordinary person can ever understand, verify or control all parameters required for 100% secure computing. This is probably the reason why browsers (Firefox, Chromium etc.) include packs of “globally trusted” certificate issuers, such as Verisign, GoDaddy etc. Private companies that are virtually the foundation of today’s DNS-based internet, controlling or supplying top domain names. This is however where one should start worrying about who controls what. Remember what Verisign did to Wikileaks.org? Did you know that they want to make it easier to happen again?

So when one can’t trust the big boys, how can one really have trust in small, unknown organisations or companies? What are their respective thoughts on free speech, free internet and policies on eavesdropping? Wouldn’t you actually prefer a system of peer-to-peer review? The “web of trust” model as it’s called when a user trusts its friends, verifies identities and thus algorithmically increases trustworthiness of each respective peer.

I’m not sure what to make of this post more than express my belief that the web’s SSL structure using pre-loaded certificate authorities in software designed to handle your private communication is flawed. For my part, I’m trying to push people into using semi-WoT CAs like CAcert.org and encourage the development of new DNS models. But my guess is I’m not influental enough on my own. Will you join the p2p revolution too?

Stockholm schmockholm

Det enda som är bra med Stockholm är typ tunnelbanan. Det går ju tåg i TUBEN hela tiden, så man tar sig till och från ställen hela tiden rätt snabbt trots geografiska hinder. Problemet är att mellanrummen fylls med skit. Hade man tagit bort Det Onödiga(tm) skulle man ju inte behöva tunnelbanan. Då hade Stockholm troligen varit i storleksklass med Umeå. Höhö.

Jag var nämligen på Ung Pirats årskongress i helgen. Därefter tog jag tåget till Stockholm och sov på soffan hos en vän två nätter. Nu sitter jag på bussen hem och försöker sammanfatta det hela på Akvariefisksättet(tm). Alltså “hej, titta på vad jag har gjort”.

Huvudsakligen var jag i Stockholm för CAcert.org. Det är dagens lätt bästa initiativ till en fritt administrerad Certificate Authority. CAcert.org bygger bl.a. på att medlemmarna bygger upp “förtroendenätverk”. För att någon ska få “mer pålitliga” certifikat behöver man bekräfta sin identitet hos andra som fått sin identitet bekräftad redan i projektet. Mitt syfte var att samla sådana “assurance points” för att själv få bekräfta andras identitet. Mission succeeded! Jag är en “Assurer” nu!

Gällande CAcert så rekommenderar jag samtliga som vill demokratisera den krypterade webben (typ https:// etc.) att använda sig av och regga sig på cacert.org samt sprida ordet om dess existens. För närvarande är t.ex. CAcerts root-certifikat ej med i Firefox (eller andra faktiskt använda webläsare) – vilket gör att man måste betala t.ex. Verisign eller så för att “verifiera” ens “legitimitet” för ett domännamn. CAcerts mål är att möjliggöra pålitlig websäkerhet för alla. Det ska inte kosta skjortan och bör skötas av en community.

Men nu över till dagbokstilen!

Jag var på piratfiket Café Edenborg (som är lika galet dyra och ovärda som tidigare, men det är väl grejen som räknas?). Det finns i alla fall öppet wlan där, och internet är ju schyst! Och så föll jag för marknadsföringen och köpte Nikanors vegomacka. Nikanor Teratologen är alltså ba väääärldens bästa författare. (och norrländsk)

När jag då satt och piratfikade på Edenborg idlade jag även i #piratpartiet @ irc.piratpartiet.se där jag såg Calandrella nämna något om ett Piratpartimöte på Café Gråmunken. Det var på andra sidan Gamla Stan från Edenborg, men gammal friidrottare som jag är tog jag mitt pick och pack och drullade iväg till Stockholmspiraternas samling. Mötet i sig finns givetvis bokfört och publicerat på internets!

Vidare måste jag påpeka var min dagboksinspiration kommer från. En googling gone wrong ledde till bloggen Spion i Stockholm. En norrländsk kvinna (agent “Norrlands Guld”) som avslöjar retardpartylivet i Stockholm på norrländska. (jag läser i alla fall texten med bred dialekt för mig själv)

Fredagen sammanfattas nog bäst av min första komplimang här i sthlm skönt att du är norrlänning, dig kan man ju prata med. Inte ens stockholmarna gillar sig själva.

Spion i Stockholm

Varför man aldrig ska lita på någon annan

Det finns grundläggande problem med förtroende i cybernetiska kommunikationsvägar. Med det sagt, så finns det ju även givetvis lika hemska – kanske värre – problem med en motsvarande mun-till-mun-metod.

Rick Falkvinge, Piratpartiet, rapporterar att Riksdagens IT-avdelning tvingar all surf-data (HTTP och HTTPS) genom en proxy. Denna proxy är dock ännu mer ondskefull än den jag använder för att surfa säkert på öppna trådlösa nät. Den proxy som Riksdagen använder är rentav illvillig – den dekrypterar alla HTTPS-sessioner, scannar igenom och skapar en egen anslutning till slutnoden.

“Hur?” frågar sig nu den mediokra säkerhetsentusiasten, typ jag. “Datorn litar ju inte på självsignerade certifikat”. Men jo, det gör den – om man anger sin egen CA (Certificate Authority) som pålitlig. I det här fallet förmodligen Riksdagens proxys egna certifikat som man installerar på alla datorer.

  • Fördel: Riksdagen kan ha centraliserad, väluppdaterad certifikathantering. Har Paypal fått sitt root-CA knyckt? Då kan man blockera allt surfande mot Paypal omedelbums. Fair enough.
  • Nackdel: All poäng med att man själv ska bestämma vilka parter som är pålitliga försvinner. Oftast är det att man har en förinstallerad – opartisk – samling av globalt betrodda certifikat. Inte internt icke överenskomna certifikatutfärdare som vill inspektera din trafik.

Min rekommendation till alla som inte konfigurerat sina datorer själva är att avinstallera alla certifikat som skiljer sig från en ordinarie utgåva av Mozilla Firefox (men kanske lägga till CACert!). Sedan kontaktar man IT-avdelningen och frågar vilka certifikat som behövs för ens arbetsplats och vad dessa används för. Sedan är det upp till en själv att lita på vad de säger, eller undersöka på egen hand.

Internet Explorer 7 och Firefox 3 (och kanske Opera också) har tagit steget att göra felaktiga certifikat till ett pain in the ass. Det är antingen förvirrande symboler eller rentav mödosamt att godkänna certifikatet. Man ska veta vad man håller på med helt enkelt. Konsekvensen blir dock att man tror att certifikat som inte orsakar problem skulle vara “okej” eller “säkra”.

Detta innebär att organisationer (typ Riksdagen) som förinstallerar sina datorer åt de anställda kan baka in egna bakdörrar. Dessa bakdörrar blir i datorns ögon helt legitima eftersom samma part har sagt till datorn att “lita på mig”. Frågan är om den som använder datorn har gått med på det medvetet. Jag hade i alla fall inte godkänt att mitt lediga lunchsurfande analyseras.

Tänk dig att någon gör detsamma med dina kärleksbrev. Behåller originalet, läser igenom, skriver av och skickar vidare kopian. När du läser brevsvaren så är det någon annans handstil och parfym än den du blivit kär i, men det märker du inte av. Du får aldrig träffa den du brevväxlar med i person.

Det enda som avslöjar denna skumraskiga affär är ett avvikande SHA1/MD5-fingeravtryck. Något man behöver en oberoende kommunikationsväg för att bekräfta. Samt grundläggande IT-kompetens och säkerhetstänk, vilket många tyvärr saknar i största allmänhet.

Förövrigt är jag långt ifrån övertygad att t.ex. Verisign skulle vara mer tillförlitliga än CACert. Det finns nämligen ingen skillnad i krypteringsmetoderna – förutom att t.ex. CACert erbjuder stöd för längre nycklar än sina kommersiella motparter. Man litar endast mer på Verisign för att de tar betalt för sin tjänst. CACert har förvisso gjort en blunder eller två, men så fort de fått förtroende att vara med i Mozillas CA-lista så är Verisigns tjänst strax utdaterad. “På grund av” (tack vare) fri certifikatsignering.