quote: "Een ander probleem zijn verlopen SSL certifcaten"

waarom? zolang de achterliggende privesleutel alleen bij de financiele
instelling bekend is, is een verlopen certificaat niets onveiliger dan een niet
verlopen certificaat.
Het geeft naar de klant toe echter wel een minder veilig/zeker gevoel omdat
de klant hiervan een melding krijgt.......aan de andere kant maakt dit de
klant wellicht meer allert op echt problematische situaties.

quote: "Om dit soort problemen te voorkomen moeten banken de
standaard Apache instellingen wijzigen en ervoor zorgen dat
hun SSL certificaten up to date zijn."

Wow die arme banken, heavy hoor..... moeten ze nog wat doen
ook en ze 'verdienen' al zo weinig...... ;)

Surf je met InternetExplorer naar de site van MijnPostbank.nl wordt je
nergens op geattendeerd. Doe hetzelfde met Opera en je zou bijna je geld
weer in een ouwe sok onder je matras gaan bewaren...

Vogens mij verschilt de situatie voor banken niet van andere online
dienstverleners, die kampen met precies dezelfde beveiligingsproblemen.
Het probleem bij banken is blijkbaar dat ze hun beveiliging niet op orde
hebben.

Mijnpostbank.nl is de meest veilige internet bankier site verkrijgbaar. Hij is
namelijk altijd down!

Certificaten zijn er in soorten en maten. Een certificaat is
mede gebaseerd op de verwachte duur van de veiligheid (een
extrapolatie van de steeds stijgende kans dat een
certificaat gecompromitteerd wordt. ) Een verlopen certificaat
is daarom een - ernstig - veiligheidsprobleem! en mag je
nooit negeren. Beter geen certificaat of een niet bij een
TTP geregistreerd certificaat dan een verlopen certificaat.
[edit]
Men neemt aan dat bij uitgifte van het certificaat tenminste 1 brute force kraak in gang wordt gezet. Indien door deze aanname, ceteris paribus, de kans op het vinden van de sleutel slechts enkele magnitudes groter is geworden verloopt het certificaat.
In Nederland zal een verlopen certificaat bij banken niet - gauw - voorkomen i.v.m. regelgeving DNB, maar ook omdat wij in Nederland (als banken) qua ervaring behoorlijk voorop lopen. Dat is de reden dat wij die regelgeving/controle al hebben :-)
[/edit]

Thaddy de Koning, Alex beleggersbank

inderdaad

@anoniem en Thaddy:

Een verlopen SSL certificaat is wel degelijk een groot
beveilingsrisico. Niet zozeer omdat de private key van het
certificaat na verloop van tijd gekraakt kan zijn ( we
hebben het hier over 512/1024 bits sleutels, daar ben je
LANG op aan het bruteforcen ). Waar het om gaat is de
melding die de user in zijn browser krijgt. Bij een verlopen
certificaat wordt er namelijk in IE ( ter voorbeeld ) een
melding gegeven dat het certificaat verlopen is. Het punt
is, users lezen deze melding niet.

Waar zit dan het gevaar in:
Het is heel makkelijk om binnen grote netwerken ARP
poisining uit te voeren waardoor je al het verkeer door jouw
eigen computer kunt leiden. Hierdoor kun je ook een eigen
certificaat in de handshake van een computer stoppen die via
SSL verbinding maakt met de server van bijv. een bank. Het
probleem is dat als dat gebeurt je ook een
certificaatfoutmelding krijgt in de browser. Een normale
gebruiker ziet echt het verschil niet tussen een verlopen-
en certificaatongeldig fout.
Dit heeft tot gevolg dat de gebruiker van zonder na te
denken op "Ja" klikken met tot gevolg dat de verbinding
getapt kan worden.

Om volledig te zijn in een korte reactie is best moeilijk :)
bedankt voor je aanvulling, maar:
Dat klopt - ook- . ARP poisoning wordt echter heel anders
bestreden. (gezien je kennis weet je dat ook best.....).
Voor nederlandse banken is daarom de looptijd van het
certificaat tenminste zo belangrijk.
Ik geef toe dat de situatie elders een stuk kwalijker lijkt
te zijn.
Verlopen certificaat is dus gewoon een niet te negeren
veiligheidsrisico, zijn we het beiden over eens.