Foute SSL implementatie brengt websites in gevaar
Veel websites werken met verlopen of verkeerde geconfigureerde SSL-certificaten en zijn daardoor kwetsbaar voor aanvallen, zo blijkt uit onderzoek dat later deze maand verschijnt. Rodney Thayer zal zijn bevindingen tijdens het Chaos Communication Congress (CCC) in Berlijn presenteren (27 t/m 30 december). Het gaat om tientallen problemen die zich met SSL-certificaten voordoen. "Ik zag veel webshops die gebruikers toegang bieden tot www.winkel.nl en alleen winkel.nl. Ze denken dat ze het makkelijker voor klanten maken, maar dit soort dingen kan de werking van SSL-certificaten ernstig schaden."
Ook ontdekte Thayer tal van sites die verlopen certificaten of gedateerde technologieën zoals SSL 2 of de 40-bit RC-4 gebruiken. "Er is absoluut geen reden waarom iemand nog SSL 2 moet gebruiken, waar van bekend is dat het lek is. En in de meeste gevallen is het gebruik van RC-4 reden voor een retailer om een PCI audit niet te halen. Deze technologieën zou je niet meer moeten tegenkomen."
Ff checken
Naast de problemen met de implementatie van de certificaten is er ook behoefte aan betere standaarden voor certificate authorities die de certificaten uitgeven. "In mijn onderzoek vond ik 247 certificate authorities die als legitiem worden beschouwd, variërend van bekende partijen als VeriSign tot een kleine organisatie in Turkije die gratis certificaten levert. Er zijn geen echte industrie standaarden voor een certificate authority."
Aangezien certificate authorities niet altijd de geldigheid van een certificaat controleren moeten bedrijven dit dan ook op een regelmatige basis zelf doen, zo oppert de onderzoeker. Consumenten krijgen het advies om popups en waarschuwingen van de browser over het certificaat niet te negeren. "Controleer je SSL-verbinding voordat je er vertrouwelijke data over stuurt."
In mijn onderzoek vond ik 247 certificate authorities die als legitiem worden beschouwd, variërend van bekende partijen als VeriSign tot een kleine organisatie in Turkije die gratis certificaten levert. Er zijn geen echte industrie standaarden voor een certificate authority.
Wat ik liever zie is een mechanisme dat een aantal well-known roots (VeriSigns e.d.) actief zijn. Andere trusted roots zitten op de bank (zijn inactief in het OS/browser). Op het moment dat je in aanraking komt met een certificaat uit zo'n omgeving dat je dan een dialoog krijg met de vraag of dat ding 'geactiveerd' moet worden.
Maak het nog een beetje regio (regional settings) afhankelijk zodat mensen in honkong het HongKong postoffice wel standaard vertrouwen.
M.a.w. geef de gebruiker de keuze.
Wat ik liever zie is een mechanisme dat een aantal well-known roots (VeriSigns e.d.) actief zijn. Andere trusted roots zitten op de bank (zijn inactief in het OS/browser). Op het moment dat je in aanraking komt met een certificaat uit zo'n omgeving dat je dan een dialoog krijg met de vraag of dat ding 'geactiveerd' moet worden.
Maak het nog een beetje regio (regional settings) afhankelijk zodat mensen in honkong het HongKong postoffice wel standaard vertrouwen.
M.a.w. geef de gebruiker de keuze.
Geen slecht idee.
Maar de keuze die ik als natuurlijke persoon wel zou willen hebben is om gewoon op het gemeentehuis, waar ik dat andere identificatiemiddel (paspoort) kan krijgen, een certificaat te kunnen laten tekenen, met een net zo goede garantie als bij een paspoort dat de identiteit klopt. Dat certificaat is dan natuurlijk ook geschikt voor versleutelde email. Misschien kan voor bedrijven de KvK of een notaris beter die rol vervullen.
Turkse "veiligheids" certificeringen & verisign (Symantec?) certificeringen vertrouw ik beide niet.
Sure, die van verisign geven - vast - betere garantie tegen "aanvallen" uit midden-oosten, China e.d Maar hoe zit dat met aanvallen vanuit de states?
Wat ik liever zie is een mechanisme dat een aantal well-known roots (VeriSigns e.d.) actief zijn. Andere trusted roots zitten op de bank (zijn inactief in het OS/browser). Op het moment dat je in aanraking komt met een certificaat uit zo'n omgeving dat je dan een dialoog krijg met de vraag of dat ding 'geactiveerd' moet worden.
Maak het nog een beetje regio (regional settings) afhankelijk zodat mensen in honkong het HongKong postoffice wel standaard vertrouwen.
M.a.w. geef de gebruiker de keuze.
Geen slecht idee.
Maar de keuze die ik als natuurlijke persoon wel zou willen hebben is om gewoon op het gemeentehuis, waar ik dat andere identificatiemiddel (paspoort) kan krijgen, een certificaat te kunnen laten tekenen, met een net zo goede garantie als bij een paspoort dat de identiteit klopt. Dat certificaat is dan natuurlijk ook geschikt voor versleutelde email. Misschien kan voor bedrijven de KvK of een notaris beter die rol vervullen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
