Computerbeveiliging - Hoe je bad guys buiten de deur houdt

9 februari: Google's Saferinternetday

09-02-2016, 00:36 door [Account Verwijderd], 1 reacties
Ik ben geen IT specialist maar met het oog op de door Google uitgeroepen dag van het veiliger internet begrijp ik al bijna twee jaar niet waarom de zoekgigant SSLv.3 schijnbaar eindeloos blijft ondersteunen. Zie: http://i.imgur.com/xS6h3KF.jpg
Boven in dit plaatje zie je in de Netcraft Toolbar het waarschuwingssymbool erbij staan.
Mijn vraag: Is dit nu allemaal humbug of bangmakerij? Of doet Google ècht nog iets waarvan je kunt zeggen: "Neen Google Secure Socket Layer v.3 is geen afdoende veiligheidsprotocol meer dus stop daar eens mee!"
Reacties (1)
09-02-2016, 09:24 door Erik van Straten
Niet alleen SSLv3, maar ook RC4 en MD5 (TLS_RSA_WITH_RC4_128_MD5 (0x4)): https://www.ssllabs.com/ssltest/analyze.html?d=google.nl.
Inderdaad een duidelijk geval van do not practice what you preach...

Bovendien is het certificaat ongeldig voor https://google.nl. Die domainname (google.nl) hoort niet te matchen op de in het wildcard certificaat opgenomen "*.google.nl" (zie bijv. https://en.wikipedia.org/wiki/Wildcard_certificate#Example en https://tools.ietf.org/html/rfc6125#section-6.4.3 punt 2).

Tegen mijn verwachting in, slikken Firefox en MSIE11 dit gewoon en geven geen certificaatfoutmelding. Ik vind het schandalig als Internet RFC's (RFC=Request for Comments) niet worden toegepast, met name als dat een negatieve impact heeft op security (in dit geval vergroot het, onverwacht, de scope). Dien een wijzigingsvoorstel in als je het niet mee eens bent met een Internet RFC!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure