05-07-2015, 13:28 door Anoniem (TS, Harry): Over het certificaat van de security.nl website:
Na het uitzetten van de SSL scan in Bitdefender zie ik inderdaad een certificaat uitgegeven door Thawte. Maar het slotje van de security.nl website is grijs, niet groen. Terwijl het slotje van https://mijn.ing.nl groen is geworden. Wat is de verklaring voor deze verschillen?
Het zou mooi zijn als we het laatste punt van onduidelijkheid (het slotje van de security.nl website is grijs, niet groen)
Goed dat je de oorzaak hebt gevonden waarom Firefox 39 nog kwetsbaar leek voor logjam! Ik zal proberen uit te leggen wat de kleur van het slotje bepaalt.
Om een verbinding te kunnen versleutelen heb je geen certificaat nodig. Echter, als je niet precies weet met welke webserver (of MitM aanvaller die zich voordoet als webserver) jouw webbrowser communiceert, heeft het nauwelijks zin om die verbinding te versleutelen.
Het hoofddoel van een https certificaat is jou enige zekerheid geven dat jouw webbrowser daadwerkelijk communiceert met een server van de door jou bedoelde organisatie (alleen als
dat vaststaat heeft het zin, sterker, is het noodzakelijk dat die verbinding wordt versleuteld en de integriteit van de uitgewisselde informatie wordt gecontroleerd, zodat niemand kan "meekijken", noch de versleutelde informatie onopgemerkt kan wijzigen of saboteren).
Zo'n certificaat wordt "uitgegeven" door een CSP (Certificate Service Provider, ook wel CA = Certificate Authority genoemd), een soort notaris, als aan 3 voorwaarden wordt voldaan:
1) De persoon die het certificaat aanvraagt, is geautoriseerd (gerechtigd) dat te doen namens de bedoelde organisatie;
2) De domainname van de server, d.w.z. de karakters tussen https:// en de eerstvolgende / (bijvoorbeeld www.security.nl of mijn.ing.nl) behoort toe aan de bedoelde organisatie;
3) De technische gegevens, aangedragen door de aanvrager, zijn in orde (denk o.a. aan de looptijd, het type en de lengte van de sleutel etc).
Die derde en laatste check voert elke CSP goed uit. Logisch want dat kun je automatiseren. Check 1 en 2 zijn veel lastiger om goed (betrouwbaar) te doen. Als gevolg van prijsvechters, die 1 en 2 aan hun laars lapten, zijn zogenaamde "domain validated" certificaten ontstaan. Daarbij volstaat het als de aanvrager een e-mail adres heeft dat lijkt op een beheeraccount bij de betreffende domainname (of 1 niveau hoger, zoals admin bij security.nl of root bij ing.nl).
Gevolg: goedkope certificaten die zeer snel kunnen worden uitgegeven. Nadelen: het is relatief eenvoudig om domainnames te registreren (in DNS) die
suggereren van een specifieke organisatie te zijn, bijvoorbeeld ing-bankieren.nl.softonic.com. iemand met een beheer-e-mail account bij Softonic.com kan vervolgens goedkoop, simpel en snel zo'n DV cerificaat aanschaffen, bijv. voor *.nl.softonic.com. Gelukkig lijkt ing-bankieren.nl.softonic.com niet kwaadaardig, maar je kunt je vast wel vergelijkbare domainnames voorstellen die bijv. voor phishing worden gebruikt.
Probleem: webbrowsers maken visueel geen onderscheid tussen DV certificaten en certificaten waarbij punten 1 en 2 boven beter worden gecontroleerd. Dat, gecombineerd met de lage prijs en eenvoud van aanvragen, leidt ertoe dat bijna iedereen DV cerificaten koopt.
In een poging dit te doorbreken, zijn EV (Extended Validation) certificaten bedacht. Met browserfabrikanten is afgesproken dat EV certificaten middels een groen slotje en/of groene URL balk worden getoond.
Kortom, bij een groen slotje in Firefox heb je meer zekerheid dat punten 1 en 2 kloppen. Helaas worden EV certificaten niet consequent gebruikt (
https://visiebeleggen.ingbank.nl/ gebruikt geen EV certificaat). En, hoewel "PKI Overheid" al wel EV certificaten kan uitgeven, heeft
https://digid.nl/ nog steeds een niet van DV te onderscheiden "gewoon" certificaat.