image

Symantec gaat gratis ssl-certificaten aanbieden

dinsdag 15 maart 2016, 11:15 door Redactie, 4 reacties

Symantec gaat websites gratis ssl-certificaten aanbieden, zo heeft het bedrijf vandaag bekendgemaakt. Het programma heet Encryption Everywhere en is gericht op hostingproviders. Die kunnen het binnen hun eigen platformen en beheerpanelen integreren.

Klanten van de provider kunnen vervolgens via één muisklik een ssl-certificaat aanvragen en laten installeren. Volgens Symantec maakt op dit moment slechts 3% van alle websites gebruik van ssl-certificaten om het verkeer tussen bezoekers en de website te versleutelen en de website via het ssl-certificaat te identificeren. Een standaard ssl-certificaat zal via Encryption Everywhere kosteloos kunnen worden aangevraagd.

Voor meer opties, zoals extended validation (EV) certificaten of wildcardcertificaten, die voor meerdere subdomeinen gelden, moet worden betaald. Symantec zal Encryption Everywhere met een aanal wereldwijde hostingpartners lanceren, waaronder InterNetX, een grote aanbieder van domeinen, webruimte en hostingproducten voor resellers. Het aanbieden van gratis ssl-certificaten volgt op het succes van Let's Encrypt. Een initiatief waar eigenaren van een website zelf een ssl-certificaat kunnen aanvragen en dat onlangs het 1 miljoenste certificaat uitgaf.

Reacties (4)
15-03-2016, 19:27 door Anoniem
Wel een leuke vooruitgang van het internet maar wel jammer dat ze hier zo laat mee afkomen. Er zijn al gelijkaardige diensten (Let's Encrypt).
16-03-2016, 10:06 door Anoniem
Door Anoniem: Wel een leuke vooruitgang van het internet maar wel jammer dat ze hier zo laat mee afkomen. Er zijn al gelijkaardige diensten (Let's Encrypt).
Deze move is gewoon onderdeel van de "race to the bottom".
Als de concurrent waardeloze certificaten gaat leveren en je wilt niet out of business gaan dan moet je dat zelf ook doen.
Voor de wereld is het allemaal geen vooruitgang, alleen voor een paar ego's.
16-03-2016, 13:40 door Erik van Straten
Ongelooflijk wat een crap zie ik weer in http://www.businesswire.com/news/home/20160314006475/en/Symantec-Announces-Encryption:

[...]
Encryption Everywhere lets web hosting providers integrate encryption into every website from the moment it is created
[...]
basic website encryption
[...]
a number of premium security packages with increasingly stronger levels of website validation, protection, and trust seals
[...]
Symantec wants to see 100% of legitimate websites secured by 2018, and Encryption Everywhere was developed to support that goal
[...]
“There are almost a billion websites today, yet only about 3% of those sites are encrypted,
which means cybercriminals have been able to make a good living off of the web’s lack of security,”
said Roxane Divol, senior vice president and general manager, Website Security, Symantec.
“Symantec is about to change the game for cybersecurity with Encryption Everywhere.
It’s time to secure every legitimate website and win back security on the internet for every business and consumer.
That’s why Symantec is making it easy to secure any website from the very moment it is registered or renewed, starting with free, basic encryption all the way through to complete website security solutions.”
[...]
For more information, visit go.symantec.com/encryptioneverywhere

Die laatste link verwijst naar http://cts.businesswire.com/ct/CT?id=smartlink&url=http%3A%2F%2Fgo.symantec.com%2Fencryptioneverywhere&esheet=51300462&newsitemid=20160314006475&lan=en-US&anchor=go.symantec.com%2Fencryptioneverywhere&index=5&md5=346b9f6fbd2ded120526b2dac93e32c0 en die werkt niet: "Page Not Found".

Okay, dan maar naar https://go.symantec.com/encryptioneverywhere:

                                                           CERTIFICATE ERROR!

Ik had het zelf niet kunnen bedenken! Maar ja, het is nog geen 2018... (waarom eigenlijk pas 2018)?

Om eerlijk te zijn: ik voerde in de URL-balk van Firefox in: http://go.symantec.com/encryptioneverywhere, maar de HTTP-everywhere pluging wijzigde dat in een https link voordat de verbinding werd gemaakt. En dat doet HTTPS Everyhwere omdat je van een domein als Symantec mag verwachten dat zij https gebruiken (zie https://www.eff.org/https-everywhere/atlas/?symantec.com).

Een aantal feiten:

1) Een https servercertificaat koppelt een public key aan een domainname; that's all. Met die informatie kan een webbrowser vaststellen, bij het opzetten van de https verbinding -nog voordat die verbinding is versleuteld-, of de server over de private key beschikt die hoort bij de public key in het certificaat.

Als die private key niet in handen van derden is gevallen (en een heleboel andere dingen niet foutgaan) weet je dus zeker dat je met een specifieke server communiceert.

Dit kan prima met een self-signed certificaat. De reden dat we die niet vertrouwen, is dat iedereen ze aan kan maken; ook cybercriminelen die DNS of IP routering weten te manipuleren, of MitM aanvallen uitvoeren (alles ergens tussen jouw browser en de door jou bedoelde server), of die jou met domainnames die er op lijken op het verkeerde been zetten.

Om die reden is het enige nut van een CSP dat deze controleert of de aanvrager van het certificaat geautoriseerd is om dat te doen namens het gegeven domain, en daarnaast, of de domainname niet als twee druppels water lijkt op een legitieme domainname en dus duidelijk geen legitiem doel heeft.

Die controles kosten tijd en geld, en worden derhalve achterwege gelaten. Het enige dat bij een DV (Domain Validated) certificaat wordt gecontroleerd, is of, op het moment van certificaat-aanvraag, de gegeven domainname resolved (via DNS) naar een IP-adres, waarbij de aanvrager moet aantonen toegang te hebben tot dat IP-adres.

Welke controles Symantec precies gaat uitvoeren voor "Encryption Everywhere" weet ik niet, maar die zijn vast niet beter dan bij DV-certificaten (anders verkopen ze die niet meer).

Dus, als aanvallers tijdelijk DNS records kunnen aanpassen (voorbeelden: https://www.security.nl/posting/409634/DNS+populaire+advertentiesite+Craigslist_org+gekaapt, https://www.security.nl/posting/377523/Aanvallers+proberen+DNS+Facebook_com+te+wijzigen), kunnen zij op een server naar keuze een DV-certificaat aanvragen. Het mooie van fatsoenlijke https certificaten is nu juist dat je niet meer afhankelijk bent van het onbrouwbare DNS; met DV certificaten (waaronder Let's Encrypt) wordt die afhankelijkheid er gewoon weer in teruggefietst.

2) Je hebt geen https certificaten nodig voor versleutelde verbindingen. Het enige doel van een certificaat is authenticatie van de website. Het kan zijn dat de public key in het certificaat tevens wordt gebruikt voor de basis van de versleutelde verbinding, maar dat wordt tegenwoordig afgeraden; Bij (P)FS = (Perfect) Forward Secrecy) wordt geen gebruik gemaakt van dit mechanisme.

3) Een https certificaat heeft niets, maar dan ook helemaal niets, te maken met het versleutelen van een website, noch is het een indicatie van de beveiliging van die website tegen ongeautoriseerde wijzigingen, en het heeft ook geen enkele invloed op content, die (op verzoek van code afkomstig van de betreffende site) door de browser vanaf andere sites wordt gedownload en geïnterpreteerd.

En een vermoeden: ik ga ervan uit dat er veel meer websites worden gehacked dan er MitM verbindingen worden afgeluisterd, laat staan overgenomen.

Conclusie: speelgoedcertificaten maken het web niet veiliger, integendeel.
12-01-2017, 14:20 door Anoniem
Blijkbaar bestaan er helaas toch nog heel was misverstanden inzake certificaten en encryptie. Dit is helemaal geen "race to the bottom" of een slecht plan.


Certificaten zijn inderdaad niet vereist om aan encryptie te doen, maar wel gewenst.
Certificaten zorgen voor een identificatie en authenticatie van een, of beide, partijen, zodat je weet dat je een versleutelde verbinding opzet met de juiste partij.

Oportunistic encryption is leuk en wel, maar als je verder geen maateregelen neemt, kan je geen MITM attack detecteren.

Binnen HTTPS is daarom het identificatie en encryptie deel onlosmakkelijk met elkaar verbonden. Encryptie is niet mogelijk zonder authenticatie van de server. De client hoeft niet noodzakelijk geauthenticeerd te worden, en ook server authenticatie zonder encryptie is mogelijk.

Dit is ook een ommezwaai naar kortere termijn certificaten. Doorgaans werden certificaten voor 1-3 jaar toegekend door een CA, en het lijkt me straf dat een CA een garantie kan geven dat in deze periode het certificaat niet gestolen of misbruikt zal worden.
Deze "gratis" certificaten zijn doorgaans slechts een korte tijd geldig (3 maanden voor Let's Encrypt) en daardoor moet er steeds een nieuw aangevraagd worden. Dit kan automatisch, maar in essentie is dit belangrijk omdat het aangeeft dat de aanvrager steeds opnieuw bewijst in controle te zijn en zich kan authenticeren met Let's Encrypt.

Voor deze gratis certificaten wordt uiteraard enkel de DNS naam geverifiëerd.
Dit is genoeg om een HTTPS verbinding op te zetten.
Het geeft garanties dat de verbinding ook daadwerkelijk wordt opgezet met de hostname die de gebruiker intikte, maar biedt natuurlijk geen enkele bescherming tegen tikfouten, frauduleuze domeinnamen, of een "eigenaar" achter het domein.

Hierdoor is dit perfect geschikt voor de meeste websites, waar ik bijvoorbeeld een e-mail adres, wachtwoord of zoektermen in opgeeft, maar niet voor sites waar men niet het domein zelf, maar bijvoorbeeld de eigenaar wil authenticeren. Het is dus bijvoorbeeld niet geschikt voor webwinkels. Als potentiële koper wil ik uiteraard een garanties dat achter het domein "SuperDuperWinkel.com" ook een bedrijf met de naam "SuperDuperWinkel" schuilt en niet gewoon iemand met een server op het internet. Dat laatste is nog steeds een taak voor CA's en nog steeds betalend.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.