Ongelooflijk wat een crap zie ik weer in
http://www.businesswire.com/news/home/20160314006475/en/Symantec-Announces-Encryption:
[...]
Encryption Everywhere lets web hosting providers integrate encryption into every website from the moment it is created
[...]
basic website encryption
[...]
a number of premium security packages with increasingly stronger levels of website validation, protection, and trust seals
[...]
Symantec wants to see 100% of legitimate websites secured by 2018, and Encryption Everywhere was developed to support that goal
[...]
“There are almost a billion websites today, yet only about 3% of those sites are encrypted,
which means cybercriminals have been able to make a good living off of the web’s lack of security,”
said Roxane Divol, senior vice president and general manager, Website Security, Symantec.
“Symantec is about to change the game for cybersecurity with Encryption Everywhere.
It’s time to secure every legitimate website and win back security on the internet for every business and consumer.
That’s why Symantec is making it easy to secure any website from the very moment it is registered or renewed, starting with free, basic encryption all the way through to complete website security solutions.”
[...]
For more information, visit go.symantec.com/encryptioneverywhere
Die laatste link verwijst naar
http://cts.businesswire.com/ct/CT?id=smartlink&url=http%3A%2F%2Fgo.symantec.com%2Fencryptioneverywhere&esheet=51300462&newsitemid=20160314006475&lan=en-US&anchor=go.symantec.com%2Fencryptioneverywhere&index=5&md5=346b9f6fbd2ded120526b2dac93e32c0 en die werkt niet: "Page Not Found".
Okay, dan maar naar
https://go.symantec.com/encryptioneverywhere:
CERTIFICATE ERROR!Ik had het zelf niet kunnen bedenken! Maar ja, het is nog geen 2018... (waarom eigenlijk pas 2018)?
Om eerlijk te zijn: ik voerde in de URL-balk van Firefox in:
http://go.symantec.com/encryptioneverywhere, maar de HTTP-everywhere pluging wijzigde dat in een https link voordat de verbinding werd gemaakt. En dat
doet HTTPS Everyhwere omdat je van een domein als Symantec mag verwachten dat zij https gebruiken (zie
https://www.eff.org/https-everywhere/atlas/?symantec.com).
Een aantal feiten:
1)
Een https servercertificaat koppelt een public key aan een domainname; that's all. Met die informatie kan een webbrowser vaststellen, bij het opzetten van de https verbinding -nog voordat die verbinding is versleuteld-, of de server over de private key beschikt die hoort bij de public key in het certificaat.
Als die private key niet in handen van derden is gevallen (en een heleboel andere dingen niet foutgaan) weet je dus zeker dat je met
een specifieke server communiceert.
Dit kan prima met een self-signed certificaat. De reden dat we
die niet vertrouwen, is dat iedereen ze aan kan maken; ook cybercriminelen die DNS of IP routering weten te manipuleren, of MitM aanvallen uitvoeren (alles ergens tussen jouw browser en de door jou
bedoelde server), of die jou met domainnames
die er op lijken op het verkeerde been zetten.
Om die reden is
het enige nut van een CSP dat deze controleert of de aanvrager van het certificaat geautoriseerd is om dat te doen namens het gegeven domain, en daarnaast, of de domainname niet als twee druppels water lijkt op een legitieme domainname en dus duidelijk geen legitiem doel heeft.
Die controles kosten tijd en geld, en worden derhalve achterwege gelaten. Het enige dat bij een DV (Domain Validated) certificaat wordt gecontroleerd, is of, op het moment van certificaat-aanvraag, de gegeven domainname resolved (via DNS) naar een IP-adres, waarbij de aanvrager moet aantonen
toegang te hebben tot dat IP-adres.
Welke controles Symantec precies gaat uitvoeren voor "Encryption Everywhere" weet ik niet, maar die zijn vast niet beter dan bij DV-certificaten (anders verkopen ze die niet meer).
Dus, als aanvallers tijdelijk DNS records kunnen aanpassen (voorbeelden:
https://www.security.nl/posting/409634/DNS+populaire+advertentiesite+Craigslist_org+gekaapt,
https://www.security.nl/posting/377523/Aanvallers+proberen+DNS+Facebook_com+te+wijzigen), kunnen zij op een server naar keuze een DV-certificaat aanvragen. Het mooie van fatsoenlijke https certificaten is nu juist dat je
niet meer afhankelijk bent van het onbrouwbare DNS; met DV certificaten (waaronder Let's Encrypt) wordt die afhankelijkheid er gewoon weer in teruggefietst.
2)
Je hebt geen https certificaten nodig voor versleutelde verbindingen. Het enige doel van een certificaat is authenticatie van de website. Het
kan zijn dat de public key in het certificaat
tevens wordt gebruikt voor de basis van de versleutelde verbinding, maar dat wordt tegenwoordig afgeraden; Bij (P)FS = (Perfect) Forward Secrecy) wordt geen gebruik gemaakt van dit mechanisme.
3)
Een https certificaat heeft niets, maar dan ook helemaal niets, te maken met het versleutelen van een website, noch is het een indicatie van de beveiliging van die website tegen ongeautoriseerde wijzigingen, en het heeft ook geen enkele invloed op content, die (op verzoek van code afkomstig van de betreffende site) door de browser vanaf
andere sites wordt gedownload en geïnterpreteerd.
En een vermoeden: ik ga ervan uit dat er
veel meer websites worden gehacked dan er MitM verbindingen worden afgeluisterd, laat staan overgenomen.
Conclusie: speelgoedcertificaten maken het web niet veiliger, integendeel.