image

Nieuwe browser beschouwt helft SSL-sites als onveilig

vrijdag 5 maart 2010, 16:14 door Redactie, 4 reacties

Volgens een veilige versie van Google Chrome is de helft van alle SSL-sites onveilig. In februari lanceerde Comodo de Comodo Dragon browser, gebaseerd op Google's Chrome. Veiligheid en privacy staan in de browser voorop. Het waarschuwt met name voor SSL-sites die niet door een vertrouwde derde partij zijn gevalideerd. Gebruikers krijgen dan de optie om door te gaan of te stoppen.

Het probleem is dat de waarschuwing bij domeinnaam gevalideerde SSL-certificaten wordt gegeven. Meer dan de helft van alle SSL-certificaten op het web valt hieronder en het aantal groeit vanwege de lage kosten sterk. Dit soort certificaten is veel goedkoper dan extended validation certificaten. Het afgeven van de waarschuwing kan dan ook een gigantische impact op e-commerce hebben, aldus internetbedrijf Netcraft. Geen enkele populaire browser waarschuwt op dit moment de gebruiker voor domeinnaam gevalideerde SSL-certificaten en het zou volgens Netcraft ook voor veel protesten zorgen als ze dit wel zouden doen.

Problemen
Een ander punt van kritiek is dat Comodo beweert dat veel kwaadaardige websites domeinnaam gevalideerde SSL-certificaten gebruiken, maar uit eigen onderzoek blijkt dit niet zo te zijn. Volgens de phishingsite feed van het internetbedrijf gebruikt slechts 0,3% van de gerapporteerde phishingssites HTTPS, waaronder die sites die op een gehackte server draaien waar al een SSL-certificaat aanwezig is. "Er is geen twijfel dat het aantasten van het vertrouwen in domeinnaam gevalideerde SSL-certificaten voor problemen zal zorgen", zegt Paul Mutton van Netcraft. Veel Amerikaanse banken gebruiken ze namelijk ook.

Reacties (4)
05-03-2010, 17:27 door Anoniem
" "Er is geen twijfel dat het aantasten van het vertrouwen in domeinnaam gevalideerde SSL-certificaten voor problemen zal zorgen", zegt Paul Mutton van Netcraft. Veel Amerikaanse banken gebruiken ze namelijk ook. "

Ik zie het probleem niet. Een bank moet bij zichzelf te rade gaan indien deze hierdoor problemen ondervindt. Waarom zou een bank geen gebruik maken van extended validation certificaten, en is het eigenlijk niet volledig terecht om financiele instellingen die niet bereid zijn om daar gebruik van te maken als onveilig te bestempelen ?

Daarnaast bieden de meeste Amerikaanse banking websites single factor authenticatie zonder aanvullende maatregelen, wat eveneens zorgt voor een onveilige dienst, welke erg vatbaar is voor misbruik t.g.v. malware, keyloggers en banking trojans.

Wellicht dat het vertrouwen wordt aangetast - maar dat hebben de Amerikaanse banken primair aan zichzelf te danken, aangezien zij niet bereid zijn om (voldoende) te investeren in de veiligheid van hun systemen.
06-03-2010, 11:12 door Anoniem
Door Anoniem: " "Ik zie het probleem niet. Een bank moet bij zichzelf te rade gaan indien deze hierdoor problemen ondervindt. Waarom zou een bank geen gebruik maken van extended validation certificaten, en is het eigenlijk niet volledig terecht om financiele instellingen die niet bereid zijn om daar gebruik van te maken als onveilig te bestempelen ?

De verkeerde vraag - de vraag is niet waarom niet maar waarom wél? Omdat de controles op de CA betrouwbaarder zijn? Hoe controleer je dat - de ene stapel papier tegen de andere houden helpt niet, hoor.

En de verkoopmethode riekt toch vooral naar chantage - is het niet in je opgekomen dat mensen het niet prettig vinden iets aangesmeerd te krijgen als 'koop ons ding, want anders gaan wij de hele wereld roepen dat jij slecht bent"...
06-03-2010, 12:51 door Anoniem
Goh, grappig hoe de Comodo Domain-validated certificaten wel als veilig 'superior' worden beschouwd.
27-03-2010, 11:05 door Anoniem
Buiten het feit dat SSL veiligheidslek kan bestaan, Banken in het algemeen zijn niet de veiligste instellingen om uberhaupt je zuur verdiende geld te bewaren. Zie de schurkenbank Goldman Sachs die mbv de Federal Reserve de Dollar en de EURO helpt devalueren en zorgen voor monetaire inflatie.

Wie rept er dan nog overeen SSL dat onbetrouwbaar zou zijn. Overigens Google is als verlengstuk van de Amerikaanse overheid, de schaduw overheid ook nog eens niet de betrouwbaarste bron voor dit soort informatie aangezien de In-Q Tel de investerings maatschappij van de CIA en NSA de grootste aandeelhouders en venture capital providers zijn voor Google en dus Chrome en daarmee indirect voor Firefox. Leuk is dat, de overheid die toch op deze wijze volledig met je meekijkt over je schouders.

Want laten we eerlijk zijn, U heeft toch niets te verbergen behalve uw pincode ?!!!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.