Nieuwe browser beschouwt helft SSL-sites als onveilig
Volgens een veilige versie van Google Chrome is de helft van alle SSL-sites onveilig. In februari lanceerde Comodo de Comodo Dragon browser, gebaseerd op Google's Chrome. Veiligheid en privacy staan in de browser voorop. Het waarschuwt met name voor SSL-sites die niet door een vertrouwde derde partij zijn gevalideerd. Gebruikers krijgen dan de optie om door te gaan of te stoppen.
Het probleem is dat de waarschuwing bij domeinnaam gevalideerde SSL-certificaten wordt gegeven. Meer dan de helft van alle SSL-certificaten op het web valt hieronder en het aantal groeit vanwege de lage kosten sterk. Dit soort certificaten is veel goedkoper dan extended validation certificaten. Het afgeven van de waarschuwing kan dan ook een gigantische impact op e-commerce hebben, aldus internetbedrijf Netcraft. Geen enkele populaire browser waarschuwt op dit moment de gebruiker voor domeinnaam gevalideerde SSL-certificaten en het zou volgens Netcraft ook voor veel protesten zorgen als ze dit wel zouden doen.
Problemen
Een ander punt van kritiek is dat Comodo beweert dat veel kwaadaardige websites domeinnaam gevalideerde SSL-certificaten gebruiken, maar uit eigen onderzoek blijkt dit niet zo te zijn. Volgens de phishingsite feed van het internetbedrijf gebruikt slechts 0,3% van de gerapporteerde phishingssites HTTPS, waaronder die sites die op een gehackte server draaien waar al een SSL-certificaat aanwezig is. "Er is geen twijfel dat het aantasten van het vertrouwen in domeinnaam gevalideerde SSL-certificaten voor problemen zal zorgen", zegt Paul Mutton van Netcraft. Veel Amerikaanse banken gebruiken ze namelijk ook.
Ik zie het probleem niet. Een bank moet bij zichzelf te rade gaan indien deze hierdoor problemen ondervindt. Waarom zou een bank geen gebruik maken van extended validation certificaten, en is het eigenlijk niet volledig terecht om financiele instellingen die niet bereid zijn om daar gebruik van te maken als onveilig te bestempelen ?
Daarnaast bieden de meeste Amerikaanse banking websites single factor authenticatie zonder aanvullende maatregelen, wat eveneens zorgt voor een onveilige dienst, welke erg vatbaar is voor misbruik t.g.v. malware, keyloggers en banking trojans.
Wellicht dat het vertrouwen wordt aangetast - maar dat hebben de Amerikaanse banken primair aan zichzelf te danken, aangezien zij niet bereid zijn om (voldoende) te investeren in de veiligheid van hun systemen.
De verkeerde vraag - de vraag is niet waarom niet maar waarom wél? Omdat de controles op de CA betrouwbaarder zijn? Hoe controleer je dat - de ene stapel papier tegen de andere houden helpt niet, hoor.
En de verkoopmethode riekt toch vooral naar chantage - is het niet in je opgekomen dat mensen het niet prettig vinden iets aangesmeerd te krijgen als 'koop ons ding, want anders gaan wij de hele wereld roepen dat jij slecht bent"...
Wie rept er dan nog overeen SSL dat onbetrouwbaar zou zijn. Overigens Google is als verlengstuk van de Amerikaanse overheid, de schaduw overheid ook nog eens niet de betrouwbaarste bron voor dit soort informatie aangezien de In-Q Tel de investerings maatschappij van de CIA en NSA de grootste aandeelhouders en venture capital providers zijn voor Google en dus Chrome en daarmee indirect voor Firefox. Leuk is dat, de overheid die toch op deze wijze volledig met je meekijkt over je schouders.
Want laten we eerlijk zijn, U heeft toch niets te verbergen behalve uw pincode ?!!!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
