Security bug in Safe Access?

[Briolet]

Ik kreeg vanochtend meerdere mailjes over het blokkeren van dezelfde site:

De verbinding van DS415-port-A met r3.o.lencr[.]org is geblokkeerd om veiligheidsredenen(Phishing).

Verzonden door uw Synology Router- SynologyRouter

Laat dat nu net de url zijn die in het Let's Encrypt certificaat staat om de geldigheid van het certificaat te controleren via OCSP.



Hebben andere hier ook last van? Lijkt me een kwalijke zaak dat de router juist de controle van een certificaat blokkeert. Nu is de default instelling op de mac om toch door te gaan als de controle faalt, maar als de controle op strikt gezet zou zijn, kun je een site niet eens bezoeken als het systeem niet kan controleren of een certificaat voor zijn vervaldatum ingetrokken is.

[Briolet]

Ik heb hem nu op de uitzonderingslijst gezet. Maar ik vind het een zeer kwalijke zaak dat juist dit domein geblokkeerd wordt.

[Briolet]

Ik heb er maar een ticket voor aangemaakt. Maar blijkbaar is het erg druk met tickets, want ik kreeg als geautomatiseerd antwoord: "Systeem bezet. De ticket wordt binnenkort verzonden."

[Babylonia]

Zelf gebruik ik geen Lets'Encript certificaat, maar van een niet gratis commerciële uitgever.
Heb een dergelijke blokkering daarmee nooit eerder gehad.

[Briolet]

Ook dit forum gebruikt een Let's Encrypt certificaat. (En heel veel andere sites als je browsed)

Het probleem is dat de controleservers vaak overbelast zijn en het niet kunnen opvragen van de controle dan een hele website blokkeert. Daarom wordt het vaak geaccepteerd dat een controle niet lukt. In elk geval is dit de norm bij MacOS, maar ik dacht bij de meeste OS-en. Alleen als je een systeem maximaal wilt beveiligen, moet je instellen dat een website geblokkeerd moet worden als je de controleserver niet kunt bereiken.

Er bestaan twee protocollen om te kijken of een certificaat voortijdig ingetrokken is. OCSP en CRL (Beiden worden door Let's Encrypt ondersteund. )

Ik lees op de Wikepedia dat eigenlijk alle browsers OCSP ondersteunen, behalve Chrome. Dus bij die browser zal die url ook nooit opgevraagd worden.

Ter info. Let's Encrypt heeft een speciale webpagina met een 'revoked' certificaat om je eigen browser te testen. "Revoked site"

How Do Browsers Handle Revoked SSL/TLS Certificates?

[Babylonia]

Zo'n "revoke certicate" (ingetrokken certificaat), geeft hier in ieder geval een correcte melding.

Beveiligde verbinding mislukt
Fout tijdens het verbinden met revoked-isrgrootx1.letsencrypt.org. Certificaat van peer is ingetrokken.
Foutcode: SEC_ERROR_REVOKED_CERTIFICATE

[Briolet]

Ik wordt zo ziek van de ondeskundigheid van het Support van Synology. Ze lezen het ticket gewoon nooit. Ik krijg net als antwoord:

Thank you for contacting the Synology support team.

To investigate this blockage, and consult it with our development team, I need to connect to your router via remote access.

I sent you a previously email to obtain your credentials and access your router. Please, can you fill out the form and then come back to me?

En dat terwijl die url gewoon in hun eigen database staat. Daar hebben ze geen remote toegang voor nodig. Wordt weer een langdurige zitting, want ik had al aangegeven dat het probleem voor mij opgelost was door deze site te whitelisten.

[Birdy]

 

[Babylonia]

Tja, je mag hopen dat je een 1e lijn support medewerker waar je contact mee hebt, iets meer weet van de achterliggende problematiek?
En op juiste wijze "vertaalt" naar de achterliggende "engineers" die er meer van weten, maar waar je nooit rechtstreeks contact mee hebt.

Met veel geduld en extra berichten over en weer, kom je hopelijk verder....      

(Snap je nu hoeveel energie het heeft gekost om de Synology firmware geschikt te maken voor "KPN IPTV routed mode" ?
 En dan gaat het alsnog verkeerd met het vergeten van gedeelten programmacode in te sluiten in officieel uitgegeven updates).

[GerardR]

@Briolet  heb het probleem ook vanaf vanmiddag 17 uur.
aanvulling: na 9 meldingen in 1 1/2 uur ook maar op de uitzonderingslijst gezet.

[Briolet]

Synology kopieert die lijsten ook gewoon maar van externe sites en moet hopen dat zij de lijsten zorgvuldig samenstellen. In sommige lijsten kun je zelf abuse meldingen opgeven. Maar als daar geen goede controle op is, kunnen hackers gewoon domeinen opgeven die juist tegen misbruik moeten beschermen.

Zoiets lijkt hier ook gebeurd te zijn. Voor Synology is het nu gewoon een kwestie om deze ene url uit de lijst te schrappen. Op langere termijn moeten ze zelf een soort whitelist aanleggen om te voorkomen dat het hackers lukt om dergelijke kritische domeinen in hun blokkeringssysteem te krijgen.

Let's Encrypt is laagdrempelig en wordt ook veel door hackers gebruikt voor hun nepsites. Een eenmaal verkregen certificaat is 3 maand geldig, Door het revoke proces te dwarsbomen, kunnen ze dan zo'n certificaat de hele 3 maand blijven gebruiken. Mits ze niet via andere methoden uit de lucht gehaald worden.

[Briolet]

Ik zag net dat er op het Engelse forum ook over geklaagd wordt.

Was te verwachten omdat iedereen wel een site met zo'n certificaat bezoekt. Eigenlijk verbaast het me dat er niet veel meer last van hebben.

[Birdy]

Eigenlijk verbaast het me dat er niet veel meer last van hebben.
Niet iedereen gebruikt Safe Access, denk ik.

[GerardR]

Morgen toch maar weer teruggaan naar sslcertificaten.nl (xolphin)

[Briolet]

Dat zal geen effect hebben. Het gaat hier niet over jouw certificaat, maar die van de sites die je bezoekt.