image

Google verbetert SSL-waarschuwing in Chrome

woensdag 4 februari 2015, 12:08 door Redactie, 5 reacties

Door een verbeterde SSL-waarschuwing in Google Chrome stoppen nu meer mensen als ze de waarschuwing te zien krijgen, maar volgens Google is er nog ruimte voor verbetering. De browser toont een SSL-waarschuwing als er bijvoorbeeld iets mis met het SSL-certificaat van een website is. Dit kan er bijvoorbeeld op duiden dat er een Man-in-the-Middle-aanval plaatsvindt. SSL-waarschuwingen zijn dan ook zeer ernstig. Uit onderzoek blijkt echter dat veel internetgebruikers SSL-waarschuwingen negeren.

Volgens Google komt dit doordat gebruikers SSL-waarschuwingen niet begrijpen. Daarom werd er besloten een begrijpbare SSL-waarschuwing te ontwikkelen. Iets waar onderzoekers van Google en de Universiteit van Pennsylvania naar eigen zeggen niet in slaagden. Toch zou de nieuwe SSL-waarschuwing, die sinds Chrome 37 wordt gebruikt, ervoor zorgen dat het aantal gebruikers dat stopt van 37% naar 62% steeg. "Dat houdt in dat miljoenen extra gebruikers per maand zich dankzij onze aangepaste waarschuwingen veilig gedragen", aldus de onderzoekers.

Taalgebruik

Om de SSL-waarschuwing ook daadwerkelijk te verbeteren werd er gekozen om eenvoudige taal en minder technische termen te gebruiken. Volgens onderzoekers zullen mensen meer dan de eerste regel lezen als een waarschuwing eenvoudige taal gebruikt. Mensen zouden bijvoorbeeld eerder de instructie opvolgen om een "raam te openen" dan de meer complexe instructie om iets in een "goed geventileerde kamer te gebruiken". Mozilla heeft bijvoorbeeld in Firefox de technische termen verwijderd, wat de leesbaarheid van de waarschuwingen ten goede is gekomen.

Daarop besloten ook de onderzoekers de waarschuwing in Chrome te vereenvoudigen. Dit zorgde ook voor een uitdaging omdat het niet mogelijk is alle aspecten van een dreigingsmodel in een eenvoudige, korte paragraaf te vermelden. De tekst die in eerste instantie werd voorgesteld bleek geen effect op het doorklikken van gebruikers te hebben, hoewel ze wel iets beter begrepen waar de dreiging vandaan kwam.

Uiteindelijk bleek de gekozen en ook doorgevoerde SSL-waarschuwing het aantal gebruikers dat stopt te vergroten van 37% naar 62%. Vier maanden na het verschijnen van Chrome 37 is dit nog steeds het geval. Toch is het percentage nog steeds teleurstellend, zo stellen de onderzoekers in het rapport. "De lage scores zijn te wijten aan de moeilijkheid om een SSL-waarschuwing te ontwikkelen die gelijktijdig kort, niet-techisch, eenvoudig en specifiek is", zo merken ze op. Naast het onderzoeksrapport (pdf) is ook de bijbehorende presentatie online verschenen.

Image

Reacties (5)
04-02-2015, 13:40 door Anoniem
Het is 2015 en de nieuwe generatie ontwikkelaars komt er opnieuw achter dat je vaak maar beter eerst een onderzoek naar gebruik kan doen. Hoe geweldig dat men keer op keer op keer het wiel opnieuw aan het uitvinden is op gebied van beveiliging.
04-02-2015, 17:52 door Anoniem
zolang Google Chrome geen SSL CRL of OCSP checks laat uitvoeren, blijft het een triest geheel.
Dan kun je wel de gebruiksvriendelijkheid verhogen, maar heeft imho weinig zin.
04-02-2015, 21:15 door Anoniem
Google Chrome geeft een melding "Your connection is not private". LOL, dat lijkt me inderdaad niet nee.
04-02-2015, 21:46 door Anoniem
@Anoniem 17:52:
Vind je dat nog steeds na het lezen van?
https://www.imperialviolet.org/2012/02/05/crlsets.html
05-02-2015, 14:38 door Anoniem
Door Anoniem: zolang Google Chrome geen SSL CRL of OCSP checks laat uitvoeren, blijft het een triest geheel.
Dan kun je wel de gebruiksvriendelijkheid verhogen, maar heeft imho weinig zin.

CRL of OCSP checks zijn een prima oplossing voor het controleren van client certificates door een server, maar niet voor het controleren van server certificates, o.a. vanwege de gebrekkige mogelijkheid om CRL lists te cachen op de client (want welke CRL's bijvoorbeeld?).

Met een up to date lijst van trusted CA's in de browser ondervang je in ieder geval een deel van de problemen. Dat het geen soelaas biedt voor gestolen certificaten of self signed certificates is duidelijk. PKI is gezien vanuit de client gewoon lastig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.