Ik heb zojuist een reactie formulier van deze website ingevuld, ....etc etc.
Wat jij nu hebt ontdekt lijkt me een totaal ander probleem. Niet met ziggomail, maar met mijn.ziggo.nl.
Je hebt een "flut-certificaat" ontdekt voor mijn.ziggo.nl. Ook ik krijg dat certificaat hier te zien.
Trouwens prima dat je meteen de hele foutmelding van Firefox erbij hebt gezet! Deed iedereen dat maar.
Het wekt de eerste indruk dat vanwege de fusie mijn.ziggo.nl een certificaat gebruikt dat hoort bij "accessoires.upc.nl".
Maar om te beginnen krijg je dan opeens een "name mismatch". Verder mankeert er van alles aan dit certificaat:
1. Het certificaat is niet door een (vertrouwde) certificeringsinstantie uitgegeven.
D.w.z.: iedereen (dus ook een oplichter) kan het hebben gemaakt.
2. Het verouderde, kwetsbare SSL3 is enabled
(zelfs ook SSL2 is enabled, maar gelukkig zonder ciphersuites. Maar waarom zet men SSL2 niet helemaal uit?)
3 Er is geen "downgrade attack prevention" (server gebruikt geen TLS_FALLBACK_SCSV)
Verder qua security nog de volgende minpuntjes:
4. Het is nog mogelijk om met het verouderde, kwetsbare RC4 encryptiecipher in te loggen. (is duidelijk minder veilig)
5. Het is een SHA1 certificaat (browsers beginnen hier al voor te waarschuwen)
Behalve de name mismatch zijn ook vooral de genoemde punten 1,2 en 3
zeer kwalijk.
Hoe kan het zelf-ondertekend zijn en geldig voor upc.nl zijn?
Iedereen kan zo'n zelf-ondertekend certificaat maken, en iedereen die adminrechten heeft (of heeft bemachtigd)
en toegang heeft tot de servers van Ziggo, kan het vervolgens installeren.
Maar ook een "man in the middle" die zich in het netwerk tussen jou en Ziggo in weet te wurmen kan zo'n certificaat
aan jouw browser presenteren! Dus hoe weet je nu dat het van Ziggo is, en niet van een "man-in the middle"?...
M.a.w.: je hebt nu een heel stuk minder zekerheid dat je werkelijk rechtstreeks met "mijn ziggo" bent verbonden.
Het risico is een heel stuk groter geworden dat een kwaadwillende alle privé-informatie over de lijn meeleest,
het verzamelt voor later misbruik, en/of manipuleert. Ook malware injecteren is in principe mogelijk.
Het certificaat kan door Ziggo geïnstalleerd zijn, maar zo'n
domme, klantenwegjagende fout verwacht je niet meteen van Ziggo. Dus het kan wat mij betreft net zo goed zijn, dat één of andere snode slimmerik "mijn.ziggo.nl" heeft gekaapt.
Op het bijbehorende IP-adress krijg ik bovendien "ISP unknown" (vestiging: London)
Erg schimmig allemaal. Eén ding is zeker: hier moet imho z.s.m. actie op worden ondernomen door Ziggo.
@redactie van security.nl: misschien goed om bericht "17:21 door Anoniem" en daarbijhorende reacties onder een nieuwe, waarschuwende kop te plaatsen?