In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.

Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.

Deze week de tip van Richard van den Berg

Controleer de websitecertificaten
Ik ben een voorzichtige computergebruiker. Of tenminste, dat probeer ik te zijn. Als ik even snel iets op wil zoeken, of even een E-mailtje wil sturen zit ik dan ook echt niet te wachten op pop-ups of knipperende/springende icoontjes die om mijn aandacht vragen. Toch gebeurt dat regelmatig. Even die update installeren, bevestigen dat dit programma inderdaad verbinding mag maken met internet, en tegenwoordig ook accepteren dat die site een cookie mag plaatsen op mijn PC.

Ook als ik geen haast heb dringt de erg menselijke neiging zich op om maar snel op “Ok” te klikken. Maar als voorzichtige computergebruiker (en IT beveiligingsconsultant) onderdruk ik dat, en denk ik even goed na wat ik aan het doen ben. Wat voor gevolgen heeft deze muisklik voor mijn systeem? Waar geef ik eigenlijk toestemming voor? Is dit een goede beslissing? Hoeveel werk is het om later terug te komen op deze beslissing?

Vandaar ook dat ik soms tools installeer die het aantal pop-up en weg-klik momenten drastisch vergroten. Zo draai ik al jaren (het hopelijk bij iedereen hier bekende) NoScript. In het begin was dit inderdaad af en toe klikken, maar veel sites deden het in 2006 ook prima zonder javascript. Dat is nu wel anders, en sinds ik de wat minder paranoïde “Standaard top-level sites tijdelijk toestaan”- optie aan heb staan valt het klikken om een site werkend te krijgen eigenlijk best wel mee.

Diginotar
Al voor het Diginotar debacle zat het hele website PKI-model me niet lekker. De EFF SSL Observatory heeft berekend moderne browsers zo’n 650 verschillende organisaties als Certificate Authority vertrouwen. Daar zitten bekende namen bij zoals Verisign, Thawte, GoDaddy en natuurlijk de Staat der Nederlanden, maar ook iets minder betrouwbare partijen zoals Comodo en CNNIC. Die laatste is inderdaad de officiële registrar van het .cn domein. Dus de Stichting Internet Domeinregistratie van China, zeg maar. Alleen is het daar geen stichting, maar een door de People's Republic of China gerunde operatie. Dus in dit geval is het meer te vergelijken met de Staat der Nederlanden CA, maar dan van China dus. Het bizarre van het website PKI-model is dat je browser slechts controleert of een geldig certificaat van een van die 650 CA’s wordt aangeboden door de site. Als dat het geval is wordt de verbinding als vertrouwd beschouwd. Ook als het certificaat voor https://mijn.belastingdienst.nl/ opeens gesigned is door CNNIC in plaats van Verisign. Dit besef heeft tot een aantal voorstellen tot verbetering geleid.

DNS-based Authentication of Named Entities (DANE) is een interessante oplossing waarbij een websitebeheerder het SSL-certificaat via DNS kan aanbieden. De webbrowser controleert het certificaat ontvangen via HTTPS met dat ontvangen via DNS. Matchen die niet, dan is er iets aan de hand. Als de DNS voor het domein beveiligd is met DNSSEC wordt het voor een aanvaller erg lastig om zowel het certificaat op een (nep) website als in de DNS aan te passen.

Moxie Marlinspike maakte Convergence, waarbij certificaten niet in de centrale CA-database van de browser worden gecontroleerd, maar ook naar centrale “notaries” worden gestuurd om te kijken of het certificaat dat jij ziet ook door andere internetters is gezien. Als blijkt dat jij een websitecertificaat ziet dat nog niemand anders heeft gezien, is er waarschijnlijk iets aan de hand.

DNSSEC (en daardoor DANE) wordt nog niet genoeg gebruikt en ondersteund om nu al een werkbare oplossing te bieden. Met Convergence stuur je de certificaten van alle HTTPS sites die je bezoekt naar een notary, en dat bevalt me qua privacy niet zo. Vandaar dat ik de Certificate Patrol addon voor Firefox gebruik. Deze oplossing controleert bij elke SSL-verbinding die je browser maakt of het certificaat nog hetzelfde is als de vorige keer dat je de site bezocht. Als een aanvaller je een certificaat van een gehackte CA voorschotelt, zal de addon daar alarm over slaan. Deze oplossing werkt niet voor alle sites even goed. Zo heeft Google voor zijn sites meerdere SSL-certificaten in gebruik. Certificate Patrol geeft dan continue pop-ups met de mededeling dat het certificaat is veranderd, terwijl het oude certificaat nog lang niet verlopen is. Er zit een optie bij om voortaan voor deze site alleen de CA te controleren:

Zo gebruik ik deze addon nu ruim een jaar, waarbij de pop-ups allemaal false positives waren. Tot vandaag. Tijdens het internetbankieren verscheen opeens de pop-up met de melding dat het certificaat voor bankieren.rabobank.nl was vernieuwd terwijl het oude certificaat nog 9 maanden geldig was:


Werd ik aangevallen? Zat er iemand mee te luisteren op de lijn? Het nieuwe certificaat was dan wel (net als het oude) uitgegeven door Verisign, echt vertrouwen deed ik het niet. Ik belde de helpdesk, en die stelde me een aantal vragen over slotjes en groene adresbalken. Maar op de vraag of er inderdaad vandaag een certificaat was vernieuwd kreeg ik geen antwoord. Na aandringen werd er toch even nagevraagd bij de specialisten wat er aan de hand kon zijn. Het blijkt dat de Rabobank meerdere datacenters heeft (logisch), en dat elk datacenter eigen certificaten gebruikt. Dat is wel te verklaren als ze de certificaten opslaan in een HSM, maar het is erg onhandig voor voorzichtige computergebruikers zoals ik.

Richard van den Berg is zelfstandig IT-consultant. Via zijn bedrijf Mount Knowledge adviseert hij grote bedrijven en organisaties op het gebied van IT-beveiliging.

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.