07-12-2015, 15:24 door SecOff: Door Erik van Straten:Echter, Let's Encrypt maakt het misbruikers nog eenvoudiger:
- Geen e-mail verkeer, dus minder traceability
- Geen money-trail
- Werkt meteen.
https://login.utvvente.nl/ (149.202.136.79) gebruikt een Let's Encrypt certificaat (uitgegeven afgelopen zaterdag).
Had je ook gewoon met een gratis
geen money-trail certificaat van cacert of startssl kunnen doen.
Certificaten uitgegeven door CAcert worden standaard niet vertrouwd door browsers, en het is nog maar de vraag of je van startssl.com een gratis certificaat voor
https://login.utvvente.nl/ kunt krijgen (volgens
https://www.startssl.com/policy.pdf pagina 16 vindt een check plaats op misleidende domainnames en verwarren van w met v v is een bekende phishing techniek).
07-12-2015, 15:24 door SecOff: En hoeveel is die tracebility via e-mail waard als je de mailbox host op die phishing server?
Niets, maar niet op elke gehackte server kun je zomaar een mailserver-service installeren. Bij Let's Encrypt heb je die hele mailbox niet nodig - simpeler dus.
07-12-2015, 15:24 door SecOff: Iedereen die ook maar het geringste idee heeft dat een ssl certificaat (de eigenaar van) een server betrouwbaar maakt dient onmiddellijk beter te worden voorgelicht.
Uit
https://blog.mozilla.org/security/2015/11/03/updated-firefox-security-indicators-2/:
03-11-2015, door Tanvi Vyas: Change to DV Certificate treatment in the address bar
Color and iconography is commonly used today to communicate to users when a site is secure.
Je mag beginnen bij deze meneer.
Echter, de discussie in deze thread gaat niet over de betrouwbaarheid van een webserver of diens beheerder, maar over de betrouwbaarheid waarmee een willekeurige bezoeker de
identiteit van een webserver kan vaststellen.
Gegeven een gebruiker die de domainname kent en controleert (in de URL-balk), vind ik het een vereiste dat die gebruiker zeker weet dat er geen MitM aanval plaats kan vinden (encryptie is zinloos als je niet precies weet met wie je praat). Validatie, die volledig afhankelijk is van de betrouwbaarheid van DNS en/of routering, is dan echt onvoldoende (waarvoor ik eerder in deze thread argumenten heb aangedragen).
En, als je phishing serieus wilt bestrijden (dus klinkt-als domainnames, andere TLD's etc. o.a. in e-mails), is de essentie van een servercertificaat dat een bezoeker, die een specifieke domainname nog nooit bezocht heeft (of niet vaak bezoekt), op basis van dat certificaat
ook betrouwbaar kan vaststellen van welke
organisatie die webserver is (toegegeven, de betrouwbaarheid van CA' s is een vereiste en moet beter, maar het concept "Notaris" gebruiken we al heel lang en beschouwen we als een onmisbare trusted third party bij allerlei transacties zoals het kopen van een huis).
Interessant is dat https://blog.mozilla.org/ een "gewoon" certificaat gebruikt (qua betrouwbaarheid tussen DV en EV in), terwijl Firefox het verschil met een DV certificaat
niet meteen laat zien. Pas als je het certificaat oproept en inspecteert zie je (naast "CN=blog.mozilla.org") onder Subject: "O=Mozilla Foundation, L=Mountain View, ST=California, C=US". Let's Encrypt certificaten hebben slechts een "CN=" veld onder Subject.
Commerciële DV certificaten waren al een heel slecht idee, Let's Encrypt maakt het nog erger.
Nog enkele voorbeelden, vandaag geregistreerd: dl.dropboxusercontent.com.verygood.site, www.nnedre.com.verygood.site en static1.squarespace.com.verygood.site. En, eveneens vandaag geregistreerd: trendhoppersale.nl - is dit nu wel of niet van dezelfde organisatie als trendhopper.nl?