image

Expert: tijd om het hele internet te versleutelen

vrijdag 18 april 2014, 15:01 door Redactie, 8 reacties

Het is tijd om het gehele internet te versleutelen, zodat het verkeer van internetgebruikers beter is beschermd tegen afluisteren. Daarvoor pleit de gerenommeerde beveiligingsonderzoeker Moxie Marlinspike. De expert reageerde naar aanleiding van mogelijke plannen van Google.

De zoekgigant zou overwegen om websites die volledig over HTTPS lopen hoger in de zoekresultaten van de Google zoekmachine te plaatsen, wat andere websites die dit nog niet doen moet aansporen om ook standaard HTTPS te gebruiken. "Het heeft waarde om het netwerkverkeer zo ondoorzichtig als mogelijk te maken, zelfs voor statische content", zegt Marlinspike tegenover Wired. "Idealiter zouden we platte tekst in z'n geheel op het internet vervangen."

Bescherming

HTTPS beschermt gebruikers niet alleen tegen afluisteren, het voorkomt ook dat een aanvaller zich tussen de gebruiker en te bezoeken websites of webdiensten kan plaatsen. "En dat is echt belangrijk, zelfs voor niet-geheime content, vanwege de integriteit: je wilt gewoon niet dat aanvallers de inhoud van de websites die je bezoekt kunnen aanpassen zonder dat je dit weet", zegt Micah Lee van The Intercept.

Dit is vooral een risico bij websites die software aanbieden. Een aanvaller zou de software die een aangevallen gebruiker wil downloaden kunnen vervangen met malware. "Websites die software aanbieden hebben geen reden om HTTP te gebruiken", merkt Lee op. "Ze zouden altijd HTTPS moeten gebruiken. Als ze dat niet doen, brengen ze gebruikers in gevaar."

Als reden om geen HTTPS te gebruiken worden vaak de kosten van een SSL-certificaat en de extra belasting op de server genoemd. Volgens Marlinspike is dit al lang niet meer het geval en zijn deze problemen grotendeels opgelost. Al in 2010 bleek uit onderzoek van Google dat de belasting op servers door het gebruik van HTTPS slechts 1% bedroeg.

Reacties (8)
18-04-2014, 15:54 door Anoniem
HTTPS is leuk, maar zolang je op een vrij makkelijke manier de zoekterm gewoon in de URI kan terugvinden biedt het weinig echte bescherming. Dat geldt natuurlijk ook gewoon voor elke andere site (zoekmachine of niet).
18-04-2014, 16:00 door El Stupid
Dat klinkt leuk en inderdaad zijn certificaten niet heel duur meer. Maar voor alle gesharede hosting betekent het wel dat er voor elk domein/certificaat een dedicated IP adres moet komen. Dat geeft extra kosten en ook een belasting op de nog beschikbare IPv4 adressen. Moet dus wel eerst IPv6 overal zijn doorgevoerd.
18-04-2014, 16:10 door Anoniem
Door El Stupid: Dat klinkt leuk en inderdaad zijn certificaten niet heel duur meer. Maar voor alle gesharede hosting betekent het wel dat er voor elk domein/certificaat een dedicated IP adres moet komen. Dat geeft extra kosten en ook een belasting op de nog beschikbare IPv4 adressen. Moet dus wel eerst IPv6 overal zijn doorgevoerd.

Dat is niet waar. Een certificaat is voor een domein (wildcard certificaat) of een host (fqdn). Je kan makkelijk meerdere met certificaat beveiligde websites achter één ip adres hangen.
18-04-2014, 17:41 door Anoniem
Ik stel voor HTTPSS Super Secure :P HTTPS is zeer eenvouding te kraken door NSA en Britse GCHQ.
Kijk als je het goed wil doen doe het dan gelijk geteen goed laat een encryption algorithm maken door een super die buiten territoriale wateren staat.
18-04-2014, 19:36 door Anoniem
" maar zolang je op een vrij makkelijke manier de zoekterm gewoon in de URI kan terugvinden biedt het weinig echte bescherming. "

Het gaat om encryptie van de dataverbinding, het heeft iets met zoeken te maken.
19-04-2014, 12:48 door Anoniem
Door Anoniem:
Door El Stupid: Dat klinkt leuk en inderdaad zijn certificaten niet heel duur meer. Maar voor alle gesharede hosting betekent het wel dat er voor elk domein/certificaat een dedicated IP adres moet komen. Dat geeft extra kosten en ook een belasting op de nog beschikbare IPv4 adressen. Moet dus wel eerst IPv6 overal zijn doorgevoerd.

Dat is niet waar. Een certificaat is voor een domein (wildcard certificaat) of een host (fqdn). Je kan makkelijk meerdere met certificaat beveiligde websites achter één ip adres hangen.
El Stupid refereerde vermoedelijk aan een kip-ei-probleem dat SSL/TLS kende in combinatie met meerdere hostnamen gekoppeld aan hetzelfde IP-adres: om te kunnen decoderen moet de server weten aan welke hostnaam de request gericht is, maar de hostnaam zit in de versleutelde datastroom en je die ken je dus pas nadat je de stroom decodeert. Het probleem zat dus niet in wat in een certificaat gespecificeerd kan worden maar in het protocol zelf bij gebruik van meerdere virtuele servers op hetzelfde IP-adres. Als oplossing hiervoor is de extensei Server Name Indication aan TLS toegevoegd, zie http://en.wikipedia.org/wiki/Server_Name_Indication.
19-04-2014, 16:42 door steve sh1t
"Expert" is zo langzamerhand een holle frase geworden.

Straks tijdens het wk hebben wij niet alleen 16 miljoen social media experts, maar ook 16 miljoen voetbal experts.
20-04-2014, 00:32 door VriendP
Als men dit gaat propageren dan kun je er veilig vanuit gaan dat het meekijken in SSL/TLS een fluitje van een cent is geworden voor vermogende partijen als de NSA. Om het "zeker" te weten moet je dan naar 4096-bit keys (wat niet door alle software wordt ondersteund en boven inefficiënt is), of een totaal ander encryptie-algoritme zoals elliptic curve om de snelheid erin te houden. In ieder geval is de huidige norm niet geschikt om overal te worden toegepast want het is veel te algemeen en waarschijnlijk dus al lange tijd zo lek als een mandje voor partijen met geld. Kwestie van tijd voordat mijn kleine broertje ook mee kan kijken in SSL, vermoedelijk.

Daarbij komt dat het versleutelen van alle dataverkeer een beetje zijn doel voorbij schiet en bovendien zorgt voor een vals gevoel van veiligheid bij de massa. "Oooh, het is toch versleuteld?" Maar welke partijen vertrouw je eigenlijk nog? En waar baseer je dat vertrouwen op? Reputatie? Waar is die reputatie op gebaseerd dan? Dat zijn vragen die men zichzelf vaker zou moeten stellen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.