Security Professionals - ipfw add deny all from eindgebruikers to any

Een rood kruis bij https://security.nl

10-08-2016, 04:20 door Anoniem, 12 reacties
Waarom zijn de letters https in het rood geschreven en staat
er een streep door https heen bij https://security.nl ?

Heb chrome verwijderd en opnieuw geïnstalleerd, krijg dat ding maar niet weg.
Als ik op het icoontje klikt zegt ie dat de site gebruikt maakt van een zwakke beveiligingsconfiguratie.
Dat lijkt me sterk op deze site Maar waarom staat het er dan ?
Heb alle extenties verwijderd en klok nagekeken. Datum en tijd staan goed.

Ik raak van dit soort dingen aardig gestresseerd
Negeren kan ik het niet. Heb gegoogeld maar niks kunnen vinden over kruis op deze site.
Verder hebben ze het over wifi inloggen via andere pc ?
Help

groet, John
Reacties (12)
10-08-2016, 10:43 door Spiff has left the building
Door Anoniem (John), 04:20 uur:
Als ik op het icoontje klikt zegt ie dat de site gebruikt maakt van een zwakke beveiligingsconfiguratie.
Ik gebruik geen Google Chrome, dus ik kan het niet voor je bekijken.
Wel zie ik dat de eerste stap in het certificeringspad een thawte sha1 algoritme certificaat is, de volgende twee stappen zijn sha256 algoritme certificaten.
Mogelijk dat Google Chrome drukte maakt over dat sha1 certificaat.
10-08-2016, 11:54 door Anoniem
Hier geen problemen met Chrome. Topicstarter wordt overduidelijk afgeluisterd door overheidsinstanties.
10-08-2016, 12:07 door Anoniem
Ik gebruik de laatste Windows versie van Google Chrome en heb dit probleem niet.
Ook IE11, Edge, Firefox en Opera geven dit probleem niet.
Weet je zeker dat je browser geen update heeft? Check bij Settings > About.
10-08-2016, 12:40 door Spiff has left the building
Door Anoniem, 11:54 uur:
Hier geen problemen met Chrome.
Door Anoniem, 12:07uur:
Ik gebruik de laatste Windows versie van Google Chrome en heb dit probleem niet.

@ topicstarter, John,
Gezien de bovenstaande reacties vermoed ik dat het niet Google Chrome is, maar iets anders op je systeem dat die beschreven weergave veroorzaakt.
Mogelijk bepaalde beveiligings add-ons, of je antivirusprogramma, of andere beveiligingssoftware.
Gebruik je veel verschillende beveiligingszaken, dan kan het een puzzeltje zijn om erachter te komen wat het beschreven fenomeen veroorzaakt.
Als je wilt dat meegedacht kan worden, dan is het wellicht handig dat je aangeeft wat voor beveiligings add-ons, antivirusprogramma, en eventuele andere beveiligingssoftware je gebruikt.
10-08-2016, 13:12 door Anoniem
Het zou inderdaad heel goed kunnen zijn dat het antivirusprogramma verantwoordelijk is voor dit probleem.

Sommige 'antivirus'programma's nemen de gehele HTTPS beveiliging en de controle daarop over. Betekent dat je geen certificaat meer ziet van de betreffende site, maar van de antivirusmaker. Vind ik zelf hoogst onbetrouwbaar want dan kan ik niet meer zien wie de werkelijke certificatenleverancier is.

Daarom ben ik op zeker moment overgestapt naar een ander antivirusprogramma. Maar misschien kun je de optie ook wel uitzetten (indien dat inderdaad de oorzaak is).
10-08-2016, 14:19 door Anoniem
er moet www bij.

https://www.security.nl/
10-08-2016, 14:25 door Anoniem
omdat cert voor www.security.nl is, niet voor security.nl

Certificaat wel bekeken?
10-08-2016, 14:34 door Anoniem
Deze informatie is van 2014 en dus mischien wat verouderd maar het lijkt te nog te klopen.

Dat SHA-1 niet meer volstaat, is al jaren bekend. Opvolgers voor SHA-1 zijn al lange tijd voorhanden. NIST heeft twee jaar geleden al een keuze gemaakt voor SHA-3. NIST waarschuwde al in 2005 dat SHA-1 niet meer veilig genoeg was en adviseerde toen al dringend over te stappen op SHA-2.

Chrome 39 zal vanaf 26 september aanstaande duidelijk aangeven dat sites met certificaten die op of na 1 januari 2017 verlopen en die een SHA-1-signature hebben, nog ‘veilig zijn maar kleine fouten bevatten’. Dat wordt aangegeven met een slotje met een gele driehoek daar overheen.

Chrome 40 zal vanaf 7 november 2014 datzelfde aangeven voor certificaten die tussen 1 juni 2016 en december 2016 verlopen.

Chrome 41 geeft vanaf het eerste kwartaal 2015 expliciet aan dat deze certificaten onveilig zijn. Dat gebeurt in de vorm van een slotje met een rood kruis er doorheen en een rode streep door HTTPS.


Zoals ik het artikel lees, ondersteunt het wat Spiff zei.

Door Spiff: Ik gebruik geen Google Chrome, dus ik kan het niet voor je bekijken.
Wel zie ik dat de eerste stap in het certificeringspad een thawte sha1 algoritme certificaat is, de volgende twee stappen zijn sha256 algoritme certificaten.
Mogelijk dat Google Chrome drukte maakt over dat sha1 certificaat.

bronvermelding: http://www.automatiseringgids.nl/nieuws/2014/37/google-chrome-stopt-met-sha-1

Mvg
MD
10-08-2016, 14:35 door [Account Verwijderd]
Zag toevallig op een ander computer forum, met een melding 'privacy fout' (?)

http://www.imgdumper.nl/uploads9/57ab1f2ea3e3f/57ab1f2e94f1e-Schermafbeelding_2016-08-10_om_14.26.53.png
10-08-2016, 15:02 door Anoniem
Door Anoniem: omdat cert voor www.security.nl is, niet voor security.nl

Certificaat wel bekeken?

Heb jij het certificaat wel bekeken? het geld zowel voor security.nl als voor www.security.nl

https://www.ssllabs.com/ssltest/analyze.html?d=security.nl&s=104.20.73.242
10-08-2016, 15:24 door Anoniem
In rood doorgestreepte https in Chrome betekent dat je geen goede beveiligde verbinding hebt met de betreffende website.
Hoewel dit verschillende oorzaken kan hebben, vermoed ik dat het veroorzaakt wordt door één van de volgende zaken:

- Chrome keurt dat ene SHA1 certificaat af zoals iemand al zei (maar dan moeten andere chromegebruikers dit ook zien)
- je zit niet rechtstreeks op internet, maar er is sprake van een "Man in the Middle" die jou kan afluisteren
- er draait Antivirus software op jouw machine die zo is ingesteld dat het ook SSL beveiligde data op virussen controleert.

Deze laatste mogelijkheid geef ik de meeste kans.
Je kan dit oplossen door je Antivirus zo in te stellen dat SSL beveiligde verbindingen niet meer worden gecontroleerd.
Het is wel zo wenselijk om dit uit te zetten, omdat het middel dat de Antivirus software gebruikt om SSL beveiligde verbindingen te kunnen controleren meestal erger is dan de kwaal: je systeem wordt er juist kwetsbaarder van.
Zie: https://www.security.nl/posting/426377/Onderzoeker%3A+virusscanners+ondermijnen+veiligheid+HTTPS

Goeroehoedjes
10-08-2016, 18:07 door [Account Verwijderd] - Bijgewerkt: 10-08-2016, 18:09
Door Spiff:

Wel zie ik dat de eerste stap in het certificeringspad een thawte sha1 algoritme certificaat is, de volgende twee stappen zijn sha256 algoritme certificaten.
Mogelijk dat Google Chrome drukte maakt over dat sha1 certificaat.

Je zou voor de aardigheid eens kunnen kijken en dan zie je dat dit bij veel meer websites zo is. Inmiddels is ook wel duidelijk dat het daar niet aan ligt maar zou het wel vreemd hebben gevonden als dat wel het probleem was want dan zou ts vermoedelijk op veel meer sites dezelfde problemen moeten hebben ondervonden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.