De melding klaagt er over dat het certificaat is gemaakt met SHA-1. Dat is een hashmethode waarvan bekend is dat deze gemakkelijker te kraken is dan wenselijk is, waardoor er nieuwere methodes in gebruik zijn genomen. Dit betekent dat als iemand bereid is geweest er tijd en moeite in te steken, het mogelijk is dat je inderdaad geen verbinding hebt met de site die je denkt dat je bezoekt. Het is ook mogelijk (om niet te zeggen waarschijnlijk) dat de mensen bij widgets.liguix.eu slackers zijn die gewoon nog niet zijn overgestapt.

Veiligheid is niet zwart/wit, maar een schaal. Of jij het veilig kan noemen moet je zelf weten.

Sites die de checks voor je doen maken de "target" zo rood mogelijk om extra klanten te werven.

/tinfoilhat off

Is je eigen keuze om online shops te vertrouwen en te gebruiken. Vertrouw je het niet? Ga lekker winkelen !

Kopen en gelijk meenemen is ook veel prettiger dan bestellen en wachten (en hopen).
Veel beter voor de economie en je krijgt nog een keer wat lichaamsbeweging!

Voor zover bekend is SHA1 nog niet gekraakt. Omdat er zwakheden in zijn gepubliceerd is een traject in gang gezet om het gebruik ervan uit te faseren, vooral omdat dit nog jaren na kan ijlen (bij digitale handtekeningen onder bestanden met een langere levensduur dan certificaten).

Veel zorgelijker bij deze site vind ik dat de domainname niet eindigt op "hema.nl". Zo heb je geen idee of deze site gerechtigd is om namens de Hema te handelen.

Avast! Dat is je antivirussoftware. Als ik kijk heeft de site een certificaat dat is uitgegeven door COMODO. Je antivirussoftware vangt de HTTPS-verbinding af om je netwerkverkeer op malware te kunnen scannen en zet er gegenereerde certificaten voor in de plaats. Met als nadeel dat je de echte certificaten niet meer kan inspecteren en dat je in de war wordt gebracht.

Misschien hebben ze het uitbesteed, maar de URL die je noemt is niet niet van HEMA (dat is hema.nl). Ga ook na of dat wel klopt voor je iets op die website doet.

Heel bijzonder dat je naar widgets.liguix.eu kunt. Het domein liguix.eu is namelijk nog vrij... Dus certificaat zal er dus ook niet zijn. Phishing site die gister uit de lucht is gehaald?

Ah, zie het al, het is met een q in plaats van een g.

Zoals Erik van Straaten al aangeeft is SHA1 nog niet gekraakt, maar zijn er zwakheden ontdekt die het binnenkort kraakbaar maken. Niet zo veel om je zorgen over te maken.

Zoals op dit forum vaker te lezen is, is SHA-1 nog steeds veilig. Er wordt alleen verwacht dat dit binnen 10 jaar kraakbaar zal zijn. Dus nu moet je er rekening mee houden dat iemand, in theorie, je verkeer onderschept, opslaat en over 10 jaar alsnog kraakt.
Alleen staat er in het verkeer voor het opwaarderen van je pre-paid kaart niets wat over 10 jaar bruikbaar zou kunnen zijn. Ook als je je wachtwoorden maar eens per 10 jaar veranderd, moet je oppassen bij zo'n SHA-1 certificaat..


Het is wel een hema site want http://www.hema.nl/winkel/hobby-en-vrije-tijd/mobiel/direct-hema-beltegoed-opwaarderen verwijst naar deze site. Uitbesteden aan een externe partij is mooi, maar dat moet ook kunnen via een subdomein dat onder hema.nl blijft vallen.

Zie: https://www.security.nl/posting/10090/Hashing+algoritme+SHA-1+gekraakt
Helemaal 100% veilig zou je het dus niet meer kunnen noemen. ;-]
Er bestaat nu kans dat iemand met voldoende kennis de lijn aftapt en meeleest (vandaar: "mogelijk niet privé"), of erger.

Verder is de genoemde website o.a. gevoelig voor de Logjam en de Freak aanval. (grade "F" van SSLLABS)
Wie deze website bezoekt, moet dus wel goed weten of zijn/haar eigen browser de dreigingen kan mitigeren.
Dit geeft aanleiding om je af te vragen of men bij Liquix "veiligheid" wel serieus neemt, en of men dit kan extrapoleren
naar de rest van hun serverbeheer?... (je data zou immers ook best ergens anders kunnen lekken)

Als derde punt: in dit geval heeft HEMA het opwaarderen van beltegoeden uitbesteedt aan Liquix. Bijv. KPN doet het ook.
Zoiets is misschien best handig en voordelig.
Maar in geval er bij het opwaarderen eens iets mis gaat, neemt het risico op "kastje <-> muur" denk ik wel toe(?)

Goeroehoedjes

Dat opgeslagen netwerkverkeer bij t.z.t. ontdekte kwetsbaarheden gekraakt zou kunnen worden is juist, maar SHA1 heeft hier gelukkig geen invloed op; het is geen versleutelingsalogoritme maar een secure hash waarmee de integriteit van informatie wordt gecheckt. D.w.z. daarmee wordt voorkomen dat een (Man-in-the-Middle) aanvaller informatie kan wijzigen voordat het de browser bereikt.

Zelfs het feit dat SHA1 momenteel bij https://widgets.liquix.eu/hema/opwaarderen op meerdere plaatsen wordt gebruikt, nl. in certificaten en als MAC tijdens transport (in Firefox zie ik als gebruikte cipher suite: TLS_RSA_WITH_AES_128_CBC_SHA), speelt geen rol.

Veel zorgelijker is dat, zoals Anoniem (30-08-2015, 15:42) schrijft, de site een F scoort in https://www.ssllabs.com/ssltest/analyze.html?d=widgets.liquix.eu o.a. doordat deze nog stokoude export (40 bits) en RC4 cipher suites ondersteunt, zwakke DHE parameters gebruikt en gevoelig is voor downgrade attacks. Deze server is zo lek als een mandje.

Als ik die pagina open word mijn browser inderdaad doorgezet naar de liquix.eu site. Echter, die Hema pagina wordt geopend via http en is dus unauthenticated. Een aanvaller met Wi-Fi toegang of die de DNS settings van jouw modem/router heeft gemanipuleerd kan jou een 100% gekopieerde http hema.nl site voorschotelen en zodra jij op "opwaarderen" klikt, jouw browser doorverwijzen naar elke gewenste site, desgewenst via https (er vanuit gaande dat de aanvaller daarop toegang heeft, bijv. liquix.nl, liquix.biz maar ook https://hemaopwaarderen.nl etc).

Daar ben ik het voor 100% mee eens. Als de site bijv. https://opwaarderen.hema.nl/ zou heten en een betrouwbaar certificaat gebruikt wordt (bij voorkeur EV) dan is het voor "opgevoede" klanten veel duidelijker dat ze op een site zitten waar de Hema voor verantwoordelijk is.

Bovendien roept de liguix.eu (met een g) om phishing... Dat ze dat domein niet ook hebben geregistreerd.

Zeker weten. ;-)
Er is bij deze website een scala aan oorzaken aan te wijzen waarom je verbinding "mogelijk niet prive" zou kunnen zijn.
De SHA1 kwetsbaarheid is daarvan misschien nog wel de minst acute.
SHA1 is "gekraakt" in de zin dat men sinds kort ca. 2000 keer sneller een collision kan vinden, maar de zaak wordt door de experts omschreven als: "het brandalarm is zonet afgegaan, maar wij hebben op dit moment zelfs nog geen rook gezien. Toch is het wel de tijd om alvast rustig, zonder paniek, afscheid te nemen van SHA1".

Was er verder vanuit gegaan dat de browser van Jack alle andere aanwezige kwetsbaarheden mitigeert, omdat daar geen expliciete foutmelding op wordt gegeven (ogenschijnlijk wordt alleen SHA1 als oorzaak genoemd), maar zeker is dit niet: dat hangt immers helemaal af van de volledigheid en correctheid van het foutdetectiemechanisme in je eigen apparaat.
Maar wie deze website met een oudere smartphone benaderen en al een tijdje geen updates hebben ontvangen,
lopen mogelijk grote risico's.
Want hoe verloopt dat opwaarderen precies? Wordt dezelfde "onveilige" verbinding ook gebruikt om bankzaken te doen?
(ik neem tenminste aan dat er beltegoed wordt overgeschreven van je bankrekening naar je prepaid beltegoed?)

Wauw... des te meer reden dat de echte liquix.eu snel orde op zaken stelt met hun eigen website!!!!!!!

Goeroehoedjes

Dit schrijft Netcraft Services over de site www.hema.nl:

http://toolbar.netcraft.com/site_report?url=http://www.hema.nl

Zoals je ziet is de homepagina geen HTTPS verbinding maar dat wordt het wel als je iets wilt gaan bestellen. Als dat niet het geval is met de url bij jouw dan is er waarschijnlijk iets aan de hand. Bij mij zie ik dus wèl een HTTPS verbinding als ik naar mijn winkelmandje ga maar krijg ik in FireFox een grijs hangslotje met een geel waarschuwingsbordje vermeldend: "Deze website verstrekt geen identitietsinformatie" Dat betekent voor mij dan wegwezen hier! (alt-f4)