Security Professionals
- ipfw add deny all from eindgebruikers to any
Overheidssites & EV-certificaten (groen slotje)
09-10-2015, 14:28 door Anoniem, 6 reacties
Waarom maken niet alle belangrijke overheidswebsites gebruik van het herkenbaardere "uitgebreid gevalideerd SSL-certificaat"? *
Gebruik van een dergelijk certificaat verhoogt immers de eenvoud voor de gewone bezoeker de betrouwbaarheid van de website wat beter te verifiëren:
• een groen slotje in de url bar voor het webadres
• de naam van de organisatie in de url bar voor het webadres
Bij mijn weten maken phishingsites geen gebruik van dergelijke certificaten met groene slotjes, maar wel van de veel goedkopere (?) en eenvoudiger verkrijgbare certificaten met grijze slotjes.
Als je bij een https website op het grijze slotje klikt krijg je meestal informatie waar je de meeste mensen niets mee kunnen.
Groen slotje met de naam van de organisatie er direct bij dus.
Simpel en doeltreffend zou je denken.
En toch gebeurt het niet, bijvoorbeeld met een site als DigiD waar al jaren zo ontzetten veel om te doen is.
Is er een goede aannemelijke reden voor te bedenken dat de overheid het niet doet maar andere organisaties waar veiligheid voorop staat zoals banken bijvoorbeeld wel?
Wie het weet mag het zeggen.
Graag zelfs.
* Uitgebreid gevalideerd SSL-certificaat
https://nl.wikipedia.org/wiki/Uitgebreid_gevalideerd_SSL-certificaat
Gebruik van een dergelijk certificaat verhoogt immers de eenvoud voor de gewone bezoeker de betrouwbaarheid van de website wat beter te verifiëren:
• een groen slotje in de url bar voor het webadres
• de naam van de organisatie in de url bar voor het webadres
Bij mijn weten maken phishingsites geen gebruik van dergelijke certificaten met groene slotjes, maar wel van de veel goedkopere (?) en eenvoudiger verkrijgbare certificaten met grijze slotjes.
Als je bij een https website op het grijze slotje klikt krijg je meestal informatie waar je de meeste mensen niets mee kunnen.
Groen slotje met de naam van de organisatie er direct bij dus.
Simpel en doeltreffend zou je denken.
En toch gebeurt het niet, bijvoorbeeld met een site als DigiD waar al jaren zo ontzetten veel om te doen is.
Is er een goede aannemelijke reden voor te bedenken dat de overheid het niet doet maar andere organisaties waar veiligheid voorop staat zoals banken bijvoorbeeld wel?
Wie het weet mag het zeggen.
Graag zelfs.
* Uitgebreid gevalideerd SSL-certificaat
https://nl.wikipedia.org/wiki/Uitgebreid_gevalideerd_SSL-certificaat
Reacties (6)
Kosten; het nog niet verlopen zijn van het certificaat; etc.
Een natuurlijk moment om over te gaan is wanneer het certificaat toch verlopen is of vervangen moet worden.
Dat het geen EV cert betreft betekent niet dat het niet veilig of vertrouwd is. Wel dat het niet in een oogopslag zichtbaar is.
Overigens geldt dit dan weer met name voor computergebruikers en is het al weer minder makkelijk zichtbaar op smartphones en tablets (voor de reageerders hierna, minder makkelijk - niet onmogelijk).
Een natuurlijk moment om over te gaan is wanneer het certificaat toch verlopen is of vervangen moet worden.
Dat het geen EV cert betreft betekent niet dat het niet veilig of vertrouwd is. Wel dat het niet in een oogopslag zichtbaar is.
Overigens geldt dit dan weer met name voor computergebruikers en is het al weer minder makkelijk zichtbaar op smartphones en tablets (voor de reageerders hierna, minder makkelijk - niet onmogelijk).
Alleen op www.overheid.nl of op alle overheidssites?...
(op alle overheidswebsites incl. gemeenten etc. wordt wel wat duur denk ik, en misschien niet zo hard nodig
als deze websites ook al via www.overheid.nl toegankelijk zijn)
www.overheid.nl heeft vorige maand trouwens net weer een nieuw certificaat gekregen. (geen EV...)
Verloopt in 2018...
Maar website maakt wel gebruik van HSTS, dus toch redelijk veilig ingericht. (A+ waardering van SSLLABS)
www.overheid.nl begint al flink op een portal te lijken.
Van daaruit kan je doorklikken naar steeds meer overheidswebsites of inloggen op mijn.overheid.nl (rechts boven)
en automatisch na de éénmalige DigID-login van daaruit dan weer diverse belangrijke overheidswebsites bezoeken.
(op alle overheidswebsites incl. gemeenten etc. wordt wel wat duur denk ik, en misschien niet zo hard nodig
als deze websites ook al via www.overheid.nl toegankelijk zijn)
www.overheid.nl heeft vorige maand trouwens net weer een nieuw certificaat gekregen. (geen EV...)
Verloopt in 2018...
Maar website maakt wel gebruik van HSTS, dus toch redelijk veilig ingericht. (A+ waardering van SSLLABS)
www.overheid.nl begint al flink op een portal te lijken.
Van daaruit kan je doorklikken naar steeds meer overheidswebsites of inloggen op mijn.overheid.nl (rechts boven)
en automatisch na de éénmalige DigID-login van daaruit dan weer diverse belangrijke overheidswebsites bezoeken.
11-10-2015, 08:54 door
Erik van Straten
09-10-2015, 14:28 door Anoniem: Waarom maken niet alle belangrijke overheidswebsites gebruik van het herkenbaardere "uitgebreid gevalideerd SSL-certificaat"?
Uit https://www.logius.nl/standaarden/pkioverheid/certificaten/extended-validation/: Het PKIoverheid EV stamcertificaat is nog niet opgenomen in grote certificate stores. Hierdoor is er nog geen ondersteuning binnen de belangrijke browsers.
Door Erik van Straten:
Dank09-10-2015, 14:28 door Anoniem: Waarom maken niet alle belangrijke overheidswebsites gebruik van het herkenbaardere "uitgebreid gevalideerd SSL-certificaat"?
Uit https://www.logius.nl/standaarden/pkioverheid/certificaten/extended-validation/: Het PKIoverheid EV stamcertificaat is nog niet opgenomen in grote certificate stores. Hierdoor is er nog geen ondersteuning binnen de belangrijke browsers.
Maar welke belangrijke browsers dan?
https://www.logius.nl/ondersteuning/pkioverheid/browserondersteuning-pkioverheid/
Dummie vraag en opmerking
Wat is de meerwaarde van een PKI voor DigiD ten opzichte van het voordeel van een EV certificaat dat voor gebruikers tenminste visueel herkenbaar is?
Phishingsites maken bij mijn weten geen gebruik van de groen slotje EV certificaten, maar eventueel wel van een grijs slotje certificaat.
Op dit moment weet Digid zich met een grijs slotje dus niet te onderscheiden van een mogelijke phishingsite.
En ik zie niet in hoe het pki verhaal daarin bescherming biedt boven een EV certificaat.
Volgens mij heb jij je wel eens druk gemaakt over de wildgroei aan nieuwe websites bij de overheid. Die opwinding viel te begrijpen.
Als het PKI verhaal in dit geval geen meerwaarde heeft lijkt het me geen gek idee in dit geval DigiD wel los te weken en deze site gewoon herkenbaar, netzoals banken dat doen, te voorzien van een groen EV certificaat.
12-10-2015, 18:12 door
Erik van Straten
12-10-2015, 16:02 door Anoniem: Maar welke belangrijke browsers dan?
https://www.logius.nl/ondersteuning/pkioverheid/browserondersteuning-pkioverheid/
Het grootste probleem lijkt Android te zijn: pas vanaf Marshmellow (Android 6.0) wordt het EV certificaat van PKIOverheid meegeleverd. Ietsje meer dan 0% van de in omloop zijnde toestellen draait nu die Android versie, en (gokje) 80% van de huidige Android telefoons gaat dat nooit draaien.https://www.logius.nl/ondersteuning/pkioverheid/browserondersteuning-pkioverheid/
12-10-2015, 16:02 door Anoniem: Dummie vraag en opmerking
Wat is de meerwaarde van een PKI voor DigiD ten opzichte van het voordeel van een EV certificaat dat voor gebruikers tenminste visueel herkenbaar is?
Elke certificaatuitgever "doet aan PKI", en "PKI Overheid" is een certificaatuitgever die al vele jaren certificaten laat uitgeven door commerciële onderaannemers (waaronder QuoVadis, KPN en destijds Diginotar).Wat is de meerwaarde van een PKI voor DigiD ten opzichte van het voordeel van een EV certificaat dat voor gebruikers tenminste visueel herkenbaar is?
Waarom weet ik niet, maar ofwel Logius heeft erg lang gewacht met het verzoek aan grote browsersmakers om haar EV rootcertificaat te laten opnemen, ofwel die jongens hadden geen zin om dit snel op te pakken (wellicht als gevolg van het Diginotar debacle).
12-10-2015, 16:02 door Anoniem: Phishingsites maken bij mijn weten geen gebruik van de groen slotje EV certificaten, maar eventueel wel van een grijs slotje certificaat.
Ik sluit niet uit dat phishingsites EV-certificaten kunnen krijgen. De controles zijn strenger, maar de essentie bij servercertificaten is dat je aantoont eigenaar te zijn van een domein.Voorbeeld: ik zie geen reden om aan digi-d.nl of een Nicaraguaans bedrijf genaamd DigiD (digid.ni) een EV-certificaat te weigeren. Wellicht dat er tijdens uitgifte nog een betrouwbaarheidscheck van het bedrijf plaatsvindt, maar als dat bedrijf later niet lekker meer loopt en de server wordt verkocht aan een phisher, kan die mooi zijn slag slaan.
Een probleem met stomme domainnames als digid.nl (in plaats van digid.overheid.nl of digid.rijksoverheid.nl) in combinatie met certificaten waar alleen maar "Logius" in staat (in plaats van O=Nederlandse Rijksoverheid en OU=Logius), is dat een gebruiker niet betrouwbaar kan vaststellen dat digid.nl daadwerkelijk de bedoelde NL overheidssite is, en zich daarmee dus onvoldoende onderscheidt van phishingsites.
Net een berichtje geweest op security.nl:
https://www.security.nl/posting/446922/Honderden+SSL-certificaten+uitgegeven+voor+phishingsites
Volgens mij gaat het hier niet alleen over EV-certificaten, maar ook (of alleen?) "grijze".
Dus als het waar is wat Netcraft beweert, dan lappen de meeste certificaatautoriteiten hun zorgplicht in meer of mindere mate aan hun laars, waarbij Comodo de negatieve kroon spant met meer dan driekwart van de gevallen.
(m.a.w.: pas heel erg op met certificaten uitgegeven door Comodo)
Daarentegen zijn de certificaten van Entrust en Digicert in deze steekproef behoorlijk betrouwbaar gebleken.
https://www.security.nl/posting/446922/Honderden+SSL-certificaten+uitgegeven+voor+phishingsites
Certificaatautoriteiten moeten aanvragen voor risicovolle domeinen controleren, maar toch weten voldoende oplichters succesvol een SSL-certificaat aan te vragen, aldus Netcraft.
en: Volgens de analist worden de meeste certificaten voor misleidende domeinnamen door Comodo uitgegeven. Positieve uitzonderingen zijn DigiCert en Entrust, die geen enkel SSL-certificaat voor een phishingsite uitgaven.
Volgens mij gaat het hier niet alleen over EV-certificaten, maar ook (of alleen?) "grijze".
Dus als het waar is wat Netcraft beweert, dan lappen de meeste certificaatautoriteiten hun zorgplicht in meer of mindere mate aan hun laars, waarbij Comodo de negatieve kroon spant met meer dan driekwart van de gevallen.
(m.a.w.: pas heel erg op met certificaten uitgegeven door Comodo)
Daarentegen zijn de certificaten van Entrust en Digicert in deze steekproef behoorlijk betrouwbaar gebleken.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
