ABN AMRO heeft al een probleempje:
http://imgur.com/a/KrJuR

Onderste serie plaatjes is de Chrome Browser, bovenste serie plaatjes is in dit geval Edge.

Het wachten is op een Google-maatregel tegen Let's Encrypt-certificaten. Gisteren een hoop websites ontdekt die zo'n gratis SSL-certificaat gebruikten maar waar desondanks heel veel op aan te merken viel opo het gebied van de beveiliging. Kenmerkend genoeg vooral bij websites waarop gepocht wordt over het veiliger maken van internet ...

Let op banken gaan nu in tegenstelling tot het verleden, toen ze er nog wat huiverig tegenover stonden vanwege bestaande bejaarde klanten, hun Symantec certificaten snel vervangen in het kader middels ondersteuning via EV certificaten om gebruikers meer oog te laten krijgen voor hun algemene anti-PHISHING campagnes.

Dat nu alles zich nog verder aan het oog en daadwerkelijke veiligheidscontrole gaat ontrekken via "Google as root, you are now just owned further by us", doet er niet toe. Niemand gaat die gronddiscussie aan voorlopig.

Schepje meer "security through obscurity" erbij kan toch geen kwaad?

Ieder verantwoordelijke ouder en verzorger leert het kind hoe die voorzichtig en veilig over moet steken bijvoorbeeld,
maar bij Internetten leert men 'het produkt niets' en is beveiligheidsinzicht voorbehouden aan een kleine cirkel van ingewijden. Het lijken de alchemisten uit de neo-Middeleeuwen wel. Eerst https overal invoeren. Kijk in de https Everywhere Atlas waar dat al allemaal misging.

Google Safebrowsing, OK ,maar niet exclusief ter bevordering van de eigen protectionistische en monopolistische agenda.

Symantec verliest de "Extended Validation"-status en gaat dit dus duur bekopen. Wordt interessant om te zien welke zetten Google nu verder op het Internet schaakbord zal gaan doen. Let's Encrypt free heeft ook al voor veel ellende gezorgd en
ook de neutrale opstelling van de grote CDNs, wel snel domeinen in de parkeerroute zetten als de centjes niet binnenkomen of als het beter uitkomt voor parking ads, maar niet kijken naar ander 'abuse', alleen content pushen en verdienen aan data-handel.

Ik zie voorlopig nog geen echte betere veiligheid van de infrastructuur. Meer bewustzijn zie ik niet. Daarentegen meer "dumbing down" en nog meer opsluiten binnen een soort van "technologische matrix".

Wanneer gaan we hieruit breken door wakker te worden voor wat er werkelijk speelt?

thnks, gaarne meer medestanders.

Niet bij Chrome op de mac. Op dit OS laat Chrome de certificaat controle over aan het systeem en volgt dus het beleid van Apple.

Chrome heeft een ander probleem. Om het certificaat te controleren, kun je niet op het slotje klikken, zoals bij andere browsers, maar moet de "ontwikkelaars tools" starten en je daar door de menu's heen ploeteren.

Of op F12 drukken (en eventueel nog de tab Security selecteren).

Google lijkt trouwens een uitzondering te maken voor Microsoft: https://login.live.com

Het wachten is op internetters die wel snappen waarom ze vertrouwen in dat slotje hebben. Daar hoort ook bij of je snapt wat een geldig certificaat niet aantoont.

Complexe materie.

Symantec staat erom bekend dat ze MITM-certificaten hebben uitgegeven aan overheidsinstanties die daardoor alles wat TLS mee kunnen lezen. Dus dat Google hen wantrouwt lijkt me enigszins logisch. Dat symantec reclameert snap ik ook nog want bad publicity aangaande vertrouwen betekent faillisement (zie Diginotar)

Het probleem ligt echter veel dieper. Er zijn zoveel ROOT-CA's in zoveel verschillende landen zoals VS, Turkije, China, e.d. dat overheidsinvloeden niet uit te sluiten zijn en waarmee het hele vertrouwen in het certificaatsysteem ter discussie staat.

Hoog tijd dat het gehele systeem, gelet op alles wat Snowden en wikileaks ons hebben geleerd, nog eens zeer kritisch wordt beschouwd.

Ik zie in de onderste bij ABN Amro ook een slotje en zelfs het woord 'secure'. Mis ik wat? Of is het 'mis" dat achter het slotje niet de naam ABN AMRO staat?

Dat is inderdaad mis. Bij een EV certificaat komt daar niet de url te staan, maar de firma naam op wiens naam het EV certificaat geregistreerd is.

Een kenner weet bij een firmanaam achter het slotje dat het een certificaat van de hoogste vertrouwensklasse betreft. Ik vraag me echter af of de gewone gebruiker hier überhaupt verschil in ziet, want er wordt niet breed voorgelicht op dit gebied.

Ah. Ik ben zo'n gewone gebruiker en zag inderdaad niet wat er mis was. Dank voor de uitleg!

Als de NSA over een public key van Google beschikt, kunnen ze die mooi gebruiken voor een MitM aanval, zoals hier beschreven: https://security.stackexchange.com/questions/42406/how-to-detect-the-nsa-mitm-attack-on-ssl &
https://security.stackexchange.com/questions/42406/how-to-detect-the-nsa-mitm-attack-on-ssl/54738#54738

Dit is het welbekende DigiNotar scenario. In dit licht moet men de inspanningen van Google (die er niets over mag melden (gag-order)} ook zien. MD5 fingerprints beveiliging is zeker gebroken, dus dat vormt ook geen belemmering meer.

De meeste mensen checken het ook niet na: https://addons.mozilla.org/en-US/firefox/addon/certificate-patrol/

Extensie niet beschikbaar voor Chrome. Is Google derhalve overal je vriend?

Je hebt nu een hele route nodig via developers tools om de authenticiteit van het certificaat na te trekken.

Het wordt er niet veiliger op, vrienden.