Door Anoniem: Alleen controleren of een site 'https' laat zien is NIET voldoende.
Eens, je moet ook controleren of de hostname in de URL balk overeenkomt met waar je naar toe wilde.
Het is noodzakelijk om voor bankzaken bijvoorbeeld het certificaat te controleren. Vooral de datum van uitgifte/verlopen en de 'vingerafdruk' van dit certificaat.
Oneens. Dat gaat geen normaal denkend mens handmatig doen en is overdreven. En wat doe je als de bank een certificaat heeft vernieuwd?
Daarnaast, als voorbeeld: ik ben zowel met MSIE als met Firefox naar
https://encrypted.google.com/ gegaan en kreeg 2 verschillende certificaten. Beide zijn voor *.google.com, en beide verlopen op 2013-06-07 19:43:27 GMT. Echter, eentje is ingegaan op 2013-02-20 13:
34:43 GMT en de andere op 2013-02-20 13:
39:05 GMT.
Bovendien verschillen de serienummers:
14 84 d9 a3 00 00 00 00 7d 35
14 88 d7 df 00 00 00 00 7e 12
Daarnaast gebruikt het ene certificaat RSA Encryption (OID=1.2.840.113549.1.1.1) en de andere ECC (OID=1.2.840.10045.2.1)
En ook de SHA1 thumbprints verschillen natuurlijk:
ab 93 de a9 19 60 8a 13 ca f0 8a b8 9c 99 be d6 be ee db 8b
f4 66 9b 15 86 43 21 84 ab cb f5 72 2c dc d8 86 45 80 ad 0f
Wat kan ik hieruit concluderen volgens jou? Is één van die certificaten vervalst, zo ja, welke? Of beide misschien? Ook Xs4all gebruikt meerdere certificaten (van verschillende CA's) voor "*.xs4all.nl".
Een certificaat is bij een MITM-attack te verwijderen en te vervangen door een andere.
Voor de site die je opent is dat helemaal niet zo simpel. Het volgende kan dan gebeuren:
1) De hostname in de URL balk wijzigt en klopt niet met waar je naar toe ging.
Dat had je moeten zien;
2) De hostname in de URL balk klopt wel, maar toch heb je een andere site "aan de lijn". Dan heb je ofwel:
2.a) Een certificaatfoutmelding;
2.b) Geen certificaatfoutmelding. In dat geval kan het volgende aan de hand zijn:
2.b.1) Een CA heeft onterecht een certificaat voor de betreffende financiële organisatie uitgegeven;
2.b.2) Een CA is zodanig gecompromitteerd dat een aanvaller een vervalst certificaat heeft kunnen maken;
2.b.3) Een CA heeft onbedoeld een (sub-) CA certificaat uitgegeven waarmee een vervalst SSL certificaat is gegenereerd;
2.b.4) De private key van de betreffende website is in handen gevallen van een aanvaller;
2.b.5) De site stuurt jouw webbrowser
tevens naar andere sites (die je niet ziet in je URL balk) en de verbinding naar minstens één van die sites wordt gekaapt.
Bij de scenario's 2.b.5 en 2.b.4 zijn jouw checks kansloos. Zeker bij scenario's 2.b.3 en mogelijk bij 2.b.2 (en misschien ook nog wel bij 2.b.1) kan de aanvaller de ingangs- en verloopdatum zelf opgeven. Als je iets van certificaten wilt controleren, zou ik in eerste instantie naar de certificate chain kijken. Als je met een Nederlandse bank communceert en het certificaat is uitgegeven door Türktrust of door CNNIC kun je er donder op zeggen dat er iets niet goed gaat.
De grootse websites bieden EV-certificaten die een betere bescherming bieden.
De enige "zekerheid" die je hebt is dat CA's beloven dat ze nauwkeuriger zullen vaststellen dat de aanvrager gerechtigd is om een certificaat aan te vragen voor de betreffende hostname (zoals "mijn.ing.nl"). Verder is het alleen een verkooppraatje.
Bovendien: als ik
https://mijn.ing.nl/internetbankieren/SesamLoginServlet open zie ik een EV-certificaat. Echter, onderaan de sourcecode van die webpagina staat:
<iframe src="https://bankieren.mijn.ing.nl/static/preloader.html" width="0" height="0" tabindex="-1" style="border: none;"></iframe>
Fijn dat
https://bankieren.mijn.ing.nl (waar mijn webbrowser daadwerkelijk naar toe gaat als ik
https://mijn.ing.nl/internetbankieren/SesamLoginServlet open) ook een EV-certificaat heeft, en hetzelfde geldt ook voor
https://bankieren-mijnzakelijk.glb.ing.nl/.
Alleen jammer dat een gewone gebruiker helemaal geen certificaten ziet van die "onderwater" sites (laat staan thumbprints kan checken). Last but not least wordt er ook verbinding gemaakt met
https://mon.retail.ing.nl/. En die heeft (momenteel in elk geval) helemaal geen EV certificaat. Hoewel er dus onder water een https verbinding gemaakt wordt met een site die helemaal geen EV certificaat heeft, leidt dit niet tot een afwaardering van het getoonde EV-certificaat, noch tot een waarschuwing...
Nb. het feit dat webbrowsers, tijdens een https sessie, straffeloos onder water met allerlei andere sites (dan getoond in de URL balk) verbinding kunnen maken, is natuurlijk absurd.
En dat banken van dit mechanisme gebruik maken vind ik helemaal onbegijpelijk (zie ook
https://gathering.tweakers.net/forum/list_message/36523714#36523714 en bijbehorende melding
http://www.siteadvisor.com/phishing.html?domain=ing.nl&originalURL=1312547732&pip=false&premium=false&client_uid=212700250&client_ver=3.3.1.133&client_type=IEPlugin&suite=false&aff_id=0&locale=en_us&os_ver=6.1.1.0, en
https://gathering.tweakers.net/forum/list_message/36518735, en
https://www.security.nl/artikel/32214/1/ING_en_2o7.net.html).
Door Anoniem: "De ‘s’ staat voor ‘secure’ en het laat daarmee zien dat de website veilig is." -> Nee, de 's' laat zien dat de verbinding veilig is, maar zegt niks over de website zelf.
Correcte opmerking, +1!