image

Let's Encrypt geeft bekende phishingsites geen SSL-certificaat

vrijdag 30 oktober 2015, 11:39 door Redactie, 4 reacties

De gratis SSL-dienst Let's Encrypt, waar straks iedereen een gratis SSL-certificaat voor zijn of haar website kan aanvragen, gaat voorlopig geen certificaten aan bekende malware- en phishingsites uitgeven. Let's Encrypt heeft als doel om het gehele web via een versleutelde verbinding te laten lopen.

Critici zijn bang dat criminelen van het initiatief gebruik zullen maken om voor hun phishingsites SSL-certificaten aan te vragen. Dit zou de phishingsites legitiem laten lijken, omdat ze over een "slotje" in de adresbalk beschikken. Consumenten zijn de afgelopen jaren altijd verteld om op de aanwezigheid van het slot-icoon te controleren. Volgens Let's Encrypt moet een SSL-certificaat niet als een vorm van goedkeuring worden gezien. Certificaatautoriteiten (CA), de partijen die de SSL-certificaten uitgeven, zijn namelijk niet goed uitgerust om zich met de bestrijding van phishing en malware bezig te houden.

Partijen als Google en Microsoft zijn hier volgens Let's Encrypt beter voor geschikt, omdat ze meer zicht op het ecosysteem hebben. Gebruikers zijn dan ook beter af met de anti-phishing en anti-malwarefilters die browsers bieden. Daarnaast moet een SSL-certificaat niet als bijzonder worden gezien, aldus de gratis certificaatautoriteit. "HTTPS is voor bijna alle websites belangrijk", aldus de organisatie. De aanwezigheid van een SSL-certificaat moet dan ook niet als uitzondering worden gezien, maar zou juist standaard moeten zijn.

Om aan de zorgen van critici tegemoet te komen gaat Let's Encrypt voorlopig de Google Safe Browsing API gebruiken. Dit is een database van Google bestaande uit allerlei malware- en phishingsites. Websites in deze database zullen van Let's Encrypt geen certificaat ontvangen. De reden om deze maatregel door te voeren is dat veel mensen het nog geen fijn idee vinden dat een certificaatautoriteit zich helemaal niet meer met de bestrijding van malware of phishing bezighoudt, zo stelt Josh Aas, directeur van de Internet Security Research Group (ISRG). Let's Encrypt is een initiatief van het ISRG.

Reacties (4)
30-10-2015, 14:44 door Anoniem
Het is het vermelden waard dat Let's Encrypt het hier nadrukkelijk over Domain Validation-certificaten heeft, niet over Extended Validation. DV-certificaten zeggen alleen dat een publieke sleutel bij een domein hoort, meer niet. Feitelijk minder: het bewijst alleen dat de aanvrager tijdens de aanvraagprocedure blijk heeft gegeven van enige controle over het domein. Dat levert een behoorlijke kans dat de aanvrager ook de legitieme eigenaar van een domein is, maar geen absolute zekerheid.
Consumenten zijn de afgelopen jaren altijd verteld om op de aanwezigheid van het slot-icoon te controleren.
Door mensen die de boodschap zo graag simpel wilden houden dat ze hem té simpel hebben gemaakt. Het is nooit waar geweest dat een slotje garandeert dat een website werkelijk is van wie hij lijkt te zijn, althans niet bij DV-certificaten, EV-certificaten zouden het beter moeten doen.

Het is heel gezellig en leuk om een boodschap uit te kleden tot iets wat de minst snuggere internetgebruikers nog kunnen bevatten en daarbij de begrijpelijkheid zwaarder te laten wegen dan de juistheid van de boodschap, maar door de juistheid op te offeren maak je de werkelijkheid niet minder ingewikkeld, je wekt alleen de schijn dat die minder ingewikkeld is. De werkelijkheid kom je echt op een gegeven moment weer tegen in al zijn ingewikkeldheid.

De mensen die een verkeerde voorstelling van zaken hebben gegeven zijn hier degenen die een probleem hebben veroorzaakt. Daar zouden de critici zich in dit geval op moeten richten, en als ze zelf degenen zijn die slotje=veilig uitdroegen moeten ze eens kritisch naar zichzelf kijken.
31-10-2015, 01:12 door Anoniem
Blacklists listen doorgaans pas nadat het kwaad is geschiedt. Dat is dus correctie tijdens spam runs of achteraf, wanneer een certificaat al is uitgegeven. Een test die alleen voor uitgifte van het certificaat wordt gedaan faalt in 99% van de gevallen.

Let's encrypt zal dus continu (elke minuut bijvoorbeeld) moeten controleren tegen alle bekende (phishing) domein blacklists. Niet alleen uri's van Google Safebrowsing.
31-10-2015, 14:41 door Anoniem
Link naar een eerder artikel met relevante discussie over deze dienst 'weggevallen'

https://www.security.nl/posting/448046/Grote+browsers+ondersteunen+gratis+SSL-dienst+Let%27s+Encrypt
02-11-2015, 09:22 door Anoniem
De bedoeling van een CA is dat deze controleert of de aanvrager van een certificaat ook de eigenaar/beheerder is van een domein. De uitvoering van deze controle is waarom een CA vertrouwd wordt.

EV certificaten zijn een marketingtruuk omdat veel mensen CA's niet meer vertrouwden en als je een CA niet voor de volle 100% kan vertrouwen, is je vebeiliging verbroken.
EV certificaten kosten mer geld, maar bieden geen enkele garantie.

Ons bedrijf is in staat geweest om EV certificaten te bemachtigen voor interne domainnamen (.local) en zelfs onbestaande domeinnamen. (.com en .net)

Daarnaast is nog niet zo lang geleden gebleken dat Symantec doodleuk geldige EV certificaten voor het domein google.com gebruik heeft "om te testen".

Mij lijkt het geen goed idee om EV certificaten meer te vertrouwen dan anderen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.