image

Beveiligingsexpert: EV-certificaten zijn zinloos geworden

dinsdag 18 september 2018, 12:12 door Redactie, 9 reacties

Dure Extended Validation (EV) certificaten die websites gebruikten om zich tegenover bezoekers te identificeren zijn compleet zinloos geworden, zo stelt de Australische beveiligingsexpert Troy Hunt. Naast de bekende tls-certificaten die websites gebruiken voor het aanbieden van een beveiligde verbinding en identificatie zijn er ook EV-certificaten.

Deze certificaten moeten gebruikers meer zekerheid geven over de identiteit van de website die ze bezoeken. Bij EV-certificaten wordt de naam van de entiteit die het certificaat heeft aangevraagd in de adresbalk van de browser weergegeven. Voordat het certificaat wordt uitgegeven vindt er een uitgebreidere controle plaats dan bij normale tls-certificaten het geval is. EV-certificaten zijn dan ook duurder dan normale tls-certificaten en worden anders door de browser weergegeven.

Apple heeft echter met iOS 12 besloten om de uitgebreidere informatie van EV-certificaten niet meer in de adresbalk weer te geven en dit zal ook voor macOS Mojave gaan gelden die volgende week verschijnt. Ook andere browserontwikkelaars zullen volgen, stelt Hunt. Hij merkt op dat mensen steeds meer op hun mobiel internetten en daardoor de vermelding van het EV-certificaat niet meer zullen zien.

Daarnaast worden EV-certificaten inmiddels ook anders weergegeven door de desktopversie van Chrome en zal de vermelding mogelijk in Chrome 70 helemaal verdwijnen. Het einde van het EV-certificaat is dan ook aanstaande, aldus Hunt. "Het is een zinloos overblijfsel van een vervlogen tijdperk."

Image

Reacties (9)
18-09-2018, 12:41 door Briolet
Is er straks echt geen verschil meer te zien? Op Safari is het altijd zo geweest dat een EV-certificaat een groen slotje krijgt en een gewoon certificaat een grijs slotje.
18-09-2018, 13:38 door Anoniem
Weer een reden om geen Safari te gebruiken; Firefox draait prima op mijn macbook ;)
18-09-2018, 13:38 door eMilt
De adresbalk is nog wel groen, bij DV en OV certificaten is het gewoon zwart.
18-09-2018, 13:42 door packetguy
Ik snap niet helemaal waarom dit verleden tijd is, een EV certificaat garandeert dat de site die je bezoekt echt hoort bij het bedrijf een DV certificaat doet dit niet. Het feit dat je iets verder door moet klikken maakt het niet dat het dan onnodig is geworden vind ik.
18-09-2018, 15:02 door Anoniem
@packetguy: lees het blog. Ze zijn echt nutteloos geworden. 1) Er zitten te veel technuische haken en ogen aan. 2) Ze zijn duur. 3) (bijna) niemand let er op of, zelfs als het opvalt, zullen ze zich niet anders gedragen. 4) https://stripe.ian.sh/.
18-09-2018, 18:16 door Anoniem
' Ietsasiemple, trammelandiandiemotoriendanwillinistarti. '

Getoonde domain in url-veld is bij Safari toch groen bij EV en grijs bij non-EV?
Ze zoeken het weer eens veel te moeilijk en dan meteen moord en brand schreeuwen.
(nou ja, bijna dan)
Take this, mister de security expert troy hunt.
18-09-2018, 18:33 door Anoniem
Een hacker met de naam Troy Hunt die heeft inderdaad geen certificaten nodig.

Voor sommige mensen zit het leven van nature mee.
18-09-2018, 20:02 door Bitwiper
Door Anoniem: Ze zijn echt nutteloos geworden.
1) Er zitten te veel technuische haken en ogen aan.
Technische haken en ogen? Wat dan?

Procedureel zijn ze wel erg vervelend en betekenen een hoop gedoe, dat klopt. Waardoor phishers ze niet graag inzetten.

Door Anoniem: 2) Ze zijn duur.
Voor jouw klaverjasclub wel ja, maar voor sites waar phishers op jagen gaat het verhoudingsgewijs om een peulenschil. En: alle waar naar z'n geld.

Door Anoniem: 3) (bijna) niemand let er op of, zelfs als het opvalt, zullen ze zich niet anders gedragen.
Cijfers of verzin je dit ter plekke?

Door Anoniem: 4) https://stripe.ian.sh/
Het is hartstikke goed als onderzoekers problemen aankaarten, en nog beter is het als we daar oplossingen voor zoeken. Een fundamenteel probleem is dat authenticatie nooit 100% betrouwbaar is. Een bedrijfsnaam, die niet uniek hoeft te zijn, moet je dan ook zien als aanvulling op een domeinnaam (die wel uniek is). Dat is de toegevoegde waarde van een EV cert.

Het is voor cybercriminelen een koud kunstje om lijkt-op-domeinnamen te registreren. Vervolgens bestaat er geen enkele belemmering om daar, binnen een oogwenk (voordat iemand je uit de lucht haalt), een -no-questions-asked- DV speelgoedcertificaat (zoals Let's Encrypt) voor te verkrijgen. Een EV certificaat verkrijgen hoort lastig te zijn, sporen achter te laten en tijd te kosten - en precies daarom hebben cybercriminelen er een hekel aan. En exact daarom is het verstandig om EV certificaten in te zetten op sites waarbij cybercriminelen brood zien in het maken van nepsites - om zoveel mogelijk te voorkomen dat nietsvermoedende gebruikers slachtoffers worden. Iets dat uiteindelijk ook op de echte site en diens eigenaar kan afstralen.

Het is ontzettend jammer dat bijv. een techniek als HSTS niet een minimum certificaatbetrouwbaarheidsniveau kan afdwingen. Ja HSTS is TOFU (Trust On First Use), tijdens de eerste sessie ben je kwetsbaar. Niet perfect zoals zoveel in deze wereld, maar beter dan niks. Net zoals EV certificaten versus de rest.
18-09-2018, 20:18 door Anoniem
Dat ze een groen slotje en zwart slotje kiezen in plaats van de bedrijfsnaam ok I get it. Kortere url past uiteraard veel beter op kleine schermpjes en de meeste gebruikers snappen toch niet dat een slotje bijna niks zegt. Maar dat ze willen naar helemaal geen onderscheid maken daar moet haast een agenda achter zitten. Ik zie echt 0 onderbouwde reden waarom dat een goed idee is.

Hoe in hemelsnaam kunnen ze DV en OV/EV gelijk noemen als de aanvraag procedure en verzonden informatie voor alle drie anders is.

DV controle via mail + CNAME DNS record
OV controle via mail + CNAME DNS record + WHOIS/KVK controle + telefonische verificatie.
EV controle via mail + CNAME DNS record + WHOIS/KVK controle + digitale ondertekening klant / contract + telefonische verificatie.

DV mogelijkheid tot wildcard subdomein ondersteund.
OV mogelijkheid tot wildcard subdomein ondersteund.
EV enkel bedoeld voor domein geen subdomein ondersteund.


Ja OV en EV in het bijzonder zijn qua prijs overdreven duur. Het verdien model mag duidelijk zijn. Maar DV certificaten hebben weinig waarde als het om veiligheid gaat. Het hele idee achter https staat en valt met de controle door de eindgebruiker of deze het certificaat vertrouwd gebaseerd op de beschikbare info en niet door dat er een plaatje met een slotje in je adresbalk wordt weergegeven.

Vals gevoel van veiligheid is al enorm bij eindgebruikers dit verbeterd die situatie absoluut niet.
paypaI.com / paypal.com soort situaties gaan we vast en zeker hierdoor meer zien sinds criminelen nu een stukje minder moeite hoeven te doen om gebruikers om de tuin te leiden.

Ben benieuwd wat straks plan van gebruiker opvoeden wordt door bijvoorbeeld banken.
Kijk bij de site of er de tekts not secure staat. Zo ja foute boel zo nee ga met uw muis naar uw beveiliging inspector scherm klik op certificate klik op details en controleer alle velden voor uw inlog sessie verloopt.

Gebruikt u geen Chrome (te herkennen aan een soort drie kleurige bal) dan zie een van de volgende andere handleidingen.

Waanzin..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.