image

Juridische vraag: mag Kliksafe HTTPS verkeer eigenlijk wel decrypten?

woensdag 9 april 2014, 15:57 door Redactie, 7 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.

Vraag: Internetprovider Kliksafe heeft tegenwoordig een speciaal filter voor HTTPS, waarin ze het verkeer decrypten. In hoeverre is dat toegestaan?

Antwoord: Kliksafe is een aanbieder van gefilterd internet. Wie deze dienst afneemt, kan voorkomen dat er ongewenste websites en diensten opgeroepen kunnen worden. De dienst kent een blacklist, whitelist en contentfilter – dat alle opgevraagde informatie scant die niet van een whitelisted site afkomstig is. (Geblackliste sites kun je natuurlijk niets van opvragen.)

Een handige internetter kan natuurlijk een encrypted verbinding opzetten en zo een dergelijk filter omzeilen. Er valt weinig te contentfilteren als je de content niet kunt lezen. Vandaar dat Kliksafe een https-filter heeft ontwikkeld. Dit filter werkt als een man-in-the-middle: de browser denkt dat hij met de bank of Youtube verbinding maakt, maar in feite gebeurt dat met het filter. Hierbij wordt een sleutel gebruikt die het filter kent, zodat het filter het verkeer kan openmaken. Vervolgens zet het filter een verbinding met bank of Youtube op, waarbij het zich voordoet als de browser. De site heeft dus geen idee dat er iemand tussen zit. Overigens staan banksites op de witte lijst, dus hun verkeer blijft versleuteld.

Het openbreken van dergelijk verkeer is al langer bekend. Bedrijven gebruiken dit nog wel eens om uitgaand werknemersverkeer te kunnen inspecteren op strijd met het bedrijfsbeleid. Of dat mag vraag ik me zeer af. Echter, omdat het decrypten hier gebeurt op speciaal verzoek van de klant zelf, lijkt me er weinig mis mee. Net zoals een slotenmaker best op mijn verzoek mijn voordeur mag openbreken.

Iets dubieuzer wordt het als het gaat om een verzoek van de klant maar niet om zijn eigen verkeer. De internetverbinding kan binnenshuis worden gedeeld, en zo zouden ouders het encrypted internetverkeer van hun kinderen kunnen lezen. Dat voelt ergens toch een tikje gek, net als een slotenmaker inhuren om de afgesloten kast in de kinderkamer open te maken (of een securitybedrijf om een verborgen camera in die kamer op te hangen). Maar dat lijkt me toch vooral een keuze van die klant, en niet iets waar je Kliksafe op kunt aankijken.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (7)
09-04-2014, 18:11 door Anoniem
Ouders hebben de ouderlijke macht en dus als zij geloven dat alleen gefilterd internet past bij hun invulling van de ouderlijke zorgplicht dan kunnen ze dat wat mij betreft gewoon doen. Of hun kinderen ze dat later in dank afnemen zoeken ze onderling maar uit, eigenlijk.

Iets anders wordt het als we het hebben over, bijvoorbeeld, een complementaire netwerkverbinding in een hotel of conferentiecentrum, of de draadloos in het cafe om de hoek. Of zelfs een gedeelde internetverbinding in een studentenhuis. In principe geldt* vanouds "mijn netwerk, mijn regels", maar evengoed was het traditioneel heel erg not done om in andermans verkeer te graan wroeten, en zijn dit soort geintjes right out.

Vergelijk het met het recht van overpad**, waar je elkaar laat begaan zonder misbruik te maken van de situatie. De landeigenaar gaat het niet leuk vinden als je in plaats van zoals gewoonljk je hond uitlaten ineens met een tank aan komt zetten, en jij zal raar staan te kijken als hij naaktscanpoortjes opricht en latexhandschoenen klaarzet.

Dus zolang jij voor jezelf kiest "ik neem bij deze tent deze internet-met-filterdienst af", niets aan de hand. Je kan er ook voor kiezen je internetverbinding elders ongefilterd te verkrijgen. Leg jij jouw keuze op aan anderen zonder hun goedvinden dan moet je daar een goede reden voor hebben; simpelweg in de positie zijn dat je die keuze anderen op kan leggen is niet genoeg. Kliksafe zelf dwingt niemand om die dienst bij hen af te nemen*** en als zodanig valt ze weinig te verwijten.

* Binnen de netwerkgemeenschap, ongeacht wat de wetgever daar nou van vindt.
** Wat overigens geen standaardrecht is en alleen maar geldt als dat dus ook op het betreffende land rust. Binnen de netwerkgemeenschap is elkaar "transit" bieden gemeengoed wegens de verregaande cooperatieve structuur die eigenlijk altijd aanwezig is geweest ondanks zekere partijen die dat heel toevallig wel eens even vergeten.
*** Expliciet danwel impliciet omdat ze de enige beschikbare ISP zijn bijvoorbeeld.
09-04-2014, 22:57 door johanw
Hoe doen ze dit dan? De enige methode zonder al te grove spyware op een computer te zetten is volgens mij een rootcertificaat van Kliksafe zelf in de browser op te nemen. Certificaat weggooien en het werkt niet meer.
10-04-2014, 08:09 door Anoniem
klopt, je dient dan een certificaat van de content-scanner te vertrouwen; als je dat certificaat niet vertrouwd krijg je een melding van je browser.

Paul
10-04-2014, 08:22 door Anoniem
Door johanw: Hoe doen ze dit dan? De enige methode zonder al te grove spyware op een computer te zetten is volgens mij een rootcertificaat van Kliksafe zelf in de browser op te nemen. Certificaat weggooien en het werkt niet meer.

Ik vermoed iets in de richting van een proxy via de DNS. DNS server wijst alle verzoeken naar de decryption server (proxy), speciale software leest daar de packets uit en als de header daarvan een verzoek bevat een website die op de whitelist staat haalt deze server voor jou de content op en geeft die via dezelfde weg terug. Als het op de blacklist staat, wordt het verzoek geblokkeerd.

Maar los daarvan, is dit niet in strijd met de netneutraliteit? Hoewel deze momenteel op losse schroeven staat...
10-04-2014, 23:45 door Anoniem
De landeigenaar gaat het niet leuk vinden als je in plaats van zoals gewoonljk je hond uitlaten ineens met een tank aan komt zetten, en jij zal raar staan te kijken als hij naaktscanpoortjes opricht en latexhandschoenen klaarzet.

Soms met node gemist, extra leuk als het hier komt bovendrijven : verbeeldingskracht èn humor.

Standbeeldje, bij deze.
13-04-2014, 12:34 door Anoniem
Even ter aanvulling:

"In geval het een site van een bank betreft, doet het filter verder niets (het dataverkeer wordt direct doorgestuurd). In geval het geen bank is, maar bijvoorbeeld Google of Twitter, zal het filter de informatie "decrypten" (vertalen naar leesbare informatie), de inhoud beoordelen t.o.v. de door de klant ingestelde filterwensen, en alsnog actie ondernemen (blokkeren of doorsturen)."

http://helpdesk.kliksafe.nl/questions/611/Basis+informatie+over+Kliksafe+HTTPS-filtering

Je kunt overigens als gebruiker heel eenvoudig zien of Kliksafe ertussen zit door het certificaat te bekijken. Die zal in het geval kliksafe ertussen zit namelijk niet zijn uitgegeven door het bedrijf dat jij probeert te bezoeken, maar door kliksafe.
26-04-2014, 17:22 door Anoniem
Sorry beetje laat.

Maar als ze https proberen te onderscheppen zie je dat toch gewoon? (Als je browser goed met de certificaten omgaat)

Als ik bijvoorbeeld naar https://kliksafe.nl krijg ik een error in iceweasel.
Verder een ISP die zulke certificaten heeft... https://www.ssllabs.com/ssltest/analyze.html?d=kliksafe.nl
Dan vertrouw je zo'n ISP ook niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.