Dank voor alle recaties tot zover!
Door Anoniem (luntrus): Mijn vraag en ik denk indirect die van topicstarter, Bitwiper, is hoe verhouden zich qua "trust & security" de bestaande methode en het nieuwe Google chrome model zich. Wordt het veiliger en is de winst van het klikken op de "cloaking resultaten" van Google een toegevoegde bonus voor Google, waar goed over is nagedacht n.a.v. hun core-business?
Ik heb geen idee van het belang van Google
hierin, maar aangezien ik Google nog nooit heb kunnen betrappen op een "vernieuwend" idee dat hen uiteindelijk geheel geen reclameinkomsten opleverde, zou het mij verbazen als er niets anders achter zit dan het "verbeteren van de gebruikerservaring".
Terug naar de techniek. Uitgaande van https verbindingen is het, voor maximale vertrouwelijkheid en authenticiteit van informatie (sowieso voor de bezoeker, maar als die persoon inlogt,
ook voor de eigenaar), noodzakelijk dat je weet:
A) Wie de eigenaar van een website is;
B) Of die eigenaar (en iedereen met "schrijftoegang" tot die website) te vertrouwen is.
Voor punt B ken ik geen technische oplossing. Voor punt A bestaan 2 gangbare oplossingen:
1) Bij een website met een EV certificaat zou je, naast de domeinnaam van een website, ook moeten zien wie de eigenaar is. Helaas is dat tweede gegeven geen gegarandeerde unieke identifier (denk aan "Jansen B.V. (NL)").
2) Bij een website met elk ander type certifcaat zie je uitsluitend de domeinnaam. In een OV certificaat hoort te staat vermeld wie de eigenaar is, maar vaak is dat zo nietszeggend dat je er weinig tot niets aan hebt, zoals deze:
CN = digid.nl
Object Identifier (2 5 4 5) = 00000004003214345001
OU = DigiD
O = Logius
L = 's-Gravenhage
ST = Zuid-Holland
C = NL
Als daar gestaan had "O = Rijksoverheid" en "OU=DigiD" (desnoods "OU =Logius, afd. DigiD") had een leek er wellicht nog wat aan gehad, want who the fuck is Logius, en hoe is dat duidelijker dan hun oude naam "GBO.overheid"? En als dit een EV certificaat was geweest, wat had je dan aan de toevoeging "Logius (NL)" in de URL balk gehad? Wat als een crimineel een website voor OnLogius o.i.d. registreert en daar een EV certificaat voor weet te vergkrijgen? Hoe moeilijk kan het zijn om daar "Rijksoverheid (NL)" te laten zien?
Kortom, een domeinnaam is de belangrijkste unieke identifier voor een website; als je die niet checkt voordat je informatie serieus neemt en vooral voordat je vertrouwelijke gegegevens (zoals een wachtwoord of zelfs een e-mail adres) prijsgeeft, ben je gewoon een sukkel. Ik zie werkelijk niet hoe je veilig zou kunnen surfen zonder betrouwwbare unieke identificatie van websites.
Vanuit (gephishte) gebruikers bezien is het echter een groot probleem dat uit een gegeven domeinnaam niet valt af te leiden of het daarbij om een website van de gesuggereerde eigenaar/organisatie gaat (voorbeeld: icscards.nl versus verbasteringen daarvan), en het voor criminelen een koud kunstje is om
lijkt-op domeinnamen te registreren -
en om daar een DV-certificaat voor te verkrijgen. Neem daarbij de stompzinnigheid van vele beheerders die maar lukraak alternatieve domeinen registreren (no thanks for that) - met onze overheid voorop.
Sowieso zijn DV certificaten nagenoeg waardeloos (je kunt ze naar verluidt -nog te publiceren onderzoek- voor elke gewenste domeinnaam krijgen, dus ook voor bijv. digid.nl:
https://www.theregister.co.uk/2018/09/06/boffins_break_cas_domain_validation/). Met het gebruik van DV certificaten zouden we dus gewoon op moeten houden, in elk geval voor sites waarbij zowel de bezoeker als de eigenaar vertrouwelijkheid en authenticiteit belangrijk vindt. En omdat normale surfers geen onderscheid zien tussen DV- en OV certificaten, kan die laatste categorie de ook vuilnisbak in zolang we DV certificaten blijven gebruiken.
Voor die gevoelige sites ken ik geen minder slechte oplossing dan een EV certificaat. Je hebt dan als unieke identifier de domeinnaam, en als aanvullende (vaak niet unieke) identifier, de naam van de eigenaar. Maar dan moeten beiden wel in beeld staan, of (bij kleine schermpjes)
hebben gestaan voordat je verder gaat. En je moet die aanvullende identifier natuurlijk niet stom kiezen (dat lijkt me logius ;-).
Nb. ik vind de certificatendiscussie hier niet off-topic omdat domainnames veel te eenvoudig te spoofen zijn en https servercertificaten (beter dan DV) een vereiste zijn om dat risico te mitigeren. Daarbij is het een vereiste voor https servcercertificaten dat een -gegarandeerd unieke- identifier van een website gekoppeld wordt aan een public key van de eigenaar (die hoort bij een private key op de server). Je hebt dus, linksom of rechtsom, een herkenbare en unieke identifier nodig voor websites.
Er zullen vast alternatieve unieke identifiers voor domeinnamen te bedenken zijn, maar verzin maar eens iets dat compact, niet verwarrend en gegarandeerd uniek is (lokale domeinnamen zoals eindigend op .local buiten beschouwend laten, maar daar hoor je geen publiek https servercertificaat voor te kunnen krijgen).
Omkeren zou best logisch zijn (nl.security.www), maar aangezien we recentelijk de puinhoop hebben vergroot met het toevoegen van een heel stel nieuwe TLD's (Top Level Domains), en daarnaast veel talen doorspekt zijn met onlogische volgordes (dag-maand-jaar, month-day-year i.p.v. de ISO volorgde, achtundneunzig versus ninety-eight versus quatre-vingt-dix-huit, etcetera) zou ik bij voorkeur
deze wereld niet op z'n kop willen zetten, want je schiet er weinig tot niets mee op.
Wel lijkt het mij zinvol om eens te kijken of er duidelijker kan worden aangegeven als het om een IDN (International Domain Name) en/of RTLO (Right To Left Override) gaat - wat een aantal aanvallen zou bemoeilijken of onmogelijk zou maken. Maar dan hebben we het over aanvullende metadata - die weer schermruimte kosten en mogelijk afleiden van andere belangrijke informatie.
En natuurlijk is het wat veiliger en overzichtelijker als je alles
vóór en
achter de domeinnaam (soms nietszeggend met bijv. met GUIDs of andere nietszeggende identifiers erin, zoals
https://msdn.microsoft.com/en-us/library/windows/desktop/aa373931(v=vs.85).aspx) uit de URL kunnen weglaten, maar dan krjig je precies wat Krakatou aangeeft - je kunt dan niet simpelweg een URL kopiëren, bijv. om deze in een andere website op te nemen (zoals naar deze pagina, genoemd in de post van Krakatau). En je zult wel duidelijk moeten maken welk protocol wordt gebruikt. Eventueel kan https:// worden weglaten, maar dan zul je wel alle andere protocollen prominent in beeld moeten brengen.