Your connection is not secure

The owner of klpd.nl has configured their website improperly. To protect your information from being stolen, Tor Browser has not connected to this website.

klpd.nl uses an invalid security certificate. The certificate is only valid for the following names: *.myshopify.com, myshopify.com Error code: SSL_ERROR_BAD_CERT_DOMAIN

Ik denk dat de SSL provider van de MIVD en KLPD gehacked kan zijn. Het certificaat is alleen geldig voor Myshopify.com ??????? Deze MiTM heb ik over meerdere verbindingen. Dit is via Tor.

klpd.nl uses an invalid security certificate. The certificate is only valid for the following names: *.myshopify.com, myshopify.com Error code: SSL_ERROR_BAD_CERT_DOMAIN

ssllabs:

KLPD:
SSL Report: klpd.nl (23.227.38.32)
Assessed on: Sat, 27 Apr 2019 12:26:53 UTC | Hide | Clear cache
Scan Another »

Certificate name mismatch
Click here to ignore the mismatch and proceed with the tests

Try these other domain names (extracted from the certificates):

*.myshopify.com
myshopify.com


MIVD:

SSL Report: mivd.nl (217.169.231.17)
Assessed on: Sat, 27 Apr 2019 12:27:56 UTC | Hide | Clear cache
Scan Another »

Assessment failed: Unable to connect to the server


VET probleem !!

Vermoedelijk is niet de site van de KLPD gehacked, maar hun DNS registratie, zie https://isc.sans.edu/ipinfo.html?ip=klpd.nl - het IP-adres is nu 23.227.38.32 (mijn Fritzbox meldt namens xs4all.nl hetzelfde).

MX wijst naar vevida.com, in elk geval een club in Groningen, maar ik vraag mij af of zij normaal gesproken mail voor de KLPD afhandelen:

Zo niet, dan valt ook e-mail in verkeerde handen.

(Vervelend dat ik tussendoor 2 keer werd gebeld door Microsoft support met een Indiaas accent, de eerste heb ik een kwartier aan de praat gehouden).

Aan de MIVD IP-adressen zie ik niks geks, alleen krijg ik een time-out op hun website.

Aanvulling, Googlen naar site:klpd.nl geeft:

Lijkt me een prank...

kan natuurlijk ook zijn dat mivd.nl niet van de MIVD is en klpd,nl niet van de KLPD is. Deze laatste is enige tijd geleden overgegaan in LANDELIJKE EENHEID.

MIVD: https://www.defensie.nl/organisatie/bestuursstaf/eenheden/mivd
LE: https://www.politie.nl/over-de-politie/organisatie---nationaal.html

Het certificaat van klpd.nl staat op naam van myshopify.com. Dus een terechte melding! Inderdaad bestaat KLPD al een tijdje niet meer. Dus gewoon naar politie.nl gaan.

SIDN informatie:
Omdat het adres van deze houder in het buitenland gevestigd is, heeft de houder gekozen om het kantooradres van SIDN als domicilieadres (briefadres) op te geven. Meer informatie over deze keuze vind je in de Procedure Domicilieadres.

Het is toch kwaailijk om overheidssites te draaien op providers die ook webwinkeltjes draaien, Myshopify.com klinkt alsof het een shared web service is.


KLPD.NL

Test date Sat, 27 Apr 2019 16:02:16 UTC
Test duration 89.510 seconds
HTTP status code 402
HTTP server signature nginx
Server hostname shops.myshopify.com


Myshopify is een bedrijf in Canada:

aut-num AS63408
as-name ASN-SHOPIFY-2
descr Shopify, Inc
descr 150 Elgin St, 8th Floor
descr Ottawa, ON K2P 1L4
descr CA

Die delen een webserver met andere saaie webwinkeltjes en modewinkkels in de UK en Nieuw Zeeland.


Deze laat het volgende zien: https://www.ssllabs.com/ssltest/analyze.html?d=www.klpd.nl

SSL Report: www.klpd.nl (23.227.38.64) Certificate name mismatch


The certificate was issued by DigiCert

None of the common names in the certificate match the name that was entered (www.klpd.nl). You may receive an error when accessing this site in a web browser. Learn more about name mismatch errors.
Common name: *.myshopify.com
SANs: *.myshopify.com, myshopify.com
Organization: Shopify Inc.
Location: Ottawa, Ontario, CA
Valid from September 26, 2017 to October 15, 2020
Serial Number: 06bc1662a6602830541ab4b26f9c138b
Signature Algorithm: sha256WithRSAEncryption
Issuer: DigiCert SHA2 High Assurance Server CA

Common name: DigiCert SHA2 High Assurance Server CA
Organization: DigiCert Inc Org. Unit: www.digicert.com
Location: US
Valid from October 22, 2013 to October 22, 2028
Serial Number: 04e1e7a4dc5cf2f36dc02b42b85d159f
Signature Algorithm: sha256WithRSAEncryption
Issuer: DigiCert High Assurance EV Root CA


Ook best een lange houdbaarheidsdatum voor een certificaat voor een veiligheidsdienst... 2028. Wat een vertrouwen...!


Server protocols:

TLS 1.3 No
TLS 1.2 Yes
TLS 1.1 No
TLS 1.0 No
SSL 3 No
SSL 2 No
For TLS 1.3 tests, we only support RFC 8446.


Cipher Suites
# TLS 1.2 (suites in server-preferred order)
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (eq. 3072 bits RSA) FS WEAK 256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 bits RSA) FS 128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (eq. 3072 bits RSA) FS WEAK 128
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x9f) DH 2048 bits FS 256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (0x6b) DH 2048 bits FS WEAK 256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x9e) DH 2048 bits FS 128
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x67) DH 2048 bits FS WEAK 128
TLS_RSA_WITH_AES_256_GCM_SHA384 (0x9d) WEAK 256
TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d) WEAK 256
TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9c) WEAK 128
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c) WEAK 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH secp256r1 (eq. 3072 bits RSA) FS WEAK 256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH secp256r1 (eq. 3072 bits RSA) FS WEAK 128
TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) DH 2048 bits FS WEAK 256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) DH 2048 bits FS WEAK 128
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) WEAK 256
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) WEAK 128


Het IP werd ook gebruikt voor Tesla Motors volgens logs:

23.227.38.64 shop.eu.teslamotors.com

Dat IP komt ook naar voren in diverse phishing rapportages die claimenen dat het IP/domain een grote scam is:

https://forum.avast.com/index.php?topic=218384.45
https://www.abuseipdb.com/check/23.227.38.64
https://ransomwaretracker.abuse.ch/ip/23.227.38.64/


Dig via de openbare Google servers levert je de shopify server voor www.klpd.nl:

www.klpd.nl@8.8.4.4 (Default): [Copy results to clipboard]

www.klpd.nl. 899 IN CNAME shops.myshopify.com.
shops.myshopify.com. 1 IN A 23.227.38.64


Het lijkt inderdaad de liggen bij de DNS.... zou er achter die nette saaie winkeltjes nog wat anders schuilgaan?

Het is al al 3 maanden aan de gang... andere 'security kritische' overheidssites die ook problemen hebben? Mivd werd al vaker genoemd. En dit blijft maanden liggen. Zijn het hobbyclubs?


Klpd.nl server and hosting history

Currently hosted by
Shopify, Inc.
since January 13, 2018

23.227.38.64
IP address

Het "slecht parkeren" van oude domains of niet referen aan de nieuwe organisatie is toch een punt... Hijacking kan een dingetje zijn, ook het misbruik van MX records. En het verwijst allemaal naar een IP waarvan bekend is dat er gescammed wordt.

KLPD is van January 13, 2018 naar Shopify.com gegaan na eerst gehost te zijn bij VEVIDA SERVICES BV, een middelmatig aandoend providertje met een filiaal in Groningen en Eeklo (Belgie). Zou best een "fout" van VEVIDA kunnen zijn bij het opheffen van de site.

En MIVD dat IP wijst gewoon terug naar defcert:

;ANSWER
17.231.169.217.in-addr.arpa. 3599 IN PTR defcert.nl.
17.231.169.217.in-addr.arpa. 3599 IN PTR www.defcert.nl.

Krijg even geen contact. Andere keren wel SSL certificaat melding. Dit is ongerelateerd aan de malwaresity van Shopify waar het KLPD domain naar verwijst na hun verhuizing bij het Gronings/Belgisch IT bedrijf.

Een ligt er regelmatig uit (MIVD) en misschien regelen ze hun certificaat wel zelf na Diginotar? Self-signed heeft de voorkeur boven die httpseverywhere initiatives als je echt veilig wil. Maar het wekt geen vertrouwen op naar site bezoekers.

De andere site KLPD die is opgezegd en verwijst al maanden naar een site die aan scamming / phishing doet. Iets waar de KLPD zelf onderzoek naar doet. Het is misschien wachten op fake phishing mailtjes van het "officiele" klpd domain.

Overheid en ICT is .... altijd al faal geweest.

www.mivd.nl is nog steeds van de overheid: https://toolbar.netcraft.com/site_report?url=www.mivd.nl

www.klpd.nl is nooit van de politie geweest: https://toolbar.netcraft.com/site_report?url=www.klpd.nl

Don't bring a stick to a gunfight.

Onzin. Zie bijv. https://web.archive.org/web/20030621222706/http://www.klpd.nl/.

Men heeft het domein gewoon laten verlopen; in 2017 stond het te koop (https://web.archive.org/web/20170713051702/https://www.klpd.nl/). Gevolg: kort daarna draaide er een webshop op dat domein (https://web.archive.org/web/20170929214148/https://www.klpd.nl/ - onderaan: "© 2017, KLPDshop - Powered by Shopify").

Kennelijk heeft Shopify de zaak de nek omgedraaid. Mogelijk hadden ze tot voor kort wel een geldig certificaat, want een Let's Encrypt speelgoedcert heb je natuurlijk zo (en gratis) voor zo'n site. En natuurlijk een prachtig domein om mails vandaan te versturen met zogenaamde boetes voor snelheidsovertredingen e.d.

Ik vind het onbegrijpelijk dat de overheid dit soort domeinnamen laat verlopen, zeker in het licht van de enorme aantallen domeinnamen die zij nog steeds registreert en aanhoudt (om wat voor reden dan ook): zie https://www.virustotal.com/#/ip-address/178.22.85.28. Ik heb een aantal keren op "More" gedrukt, de lijst is ongetwijfeld nog veel langer:

Vorig jaar heeft de overheid aangekondigd een onderzoek te doen naar de betrouwbaarheid van domeinnamen van de overheid (https://www.security.nl/posting/583962/Overheid%2Bgaat%2Bnut%2Beigen%2Bdomeinnaam-extensie%2Bonderzoeken). De melding over het resultaat daarvan heb ik gemist op security.nl (of ik heb er overheen gekeken), zie https://www.rijksoverheid.nl/documenten/rapporten/2019/01/31/herkenbaarheid-van-en-vertrouwen-in-websites-en-e-mails-van-de-overheid.

De uitkomst is best interessant: 75% van de ondervraagden vindt een uniforme extensie voor overheidsdomeinnamen een goed idee, en 86% geeft de voorkeur aan *.overheid.nl. Dat zou een hoop ellende kunnen schelen (en kun je paal en perk stellen aan de belachelijke aantallen en idiote namen die men soms meent te moeten registreren).

Dit gedeelte is het enige dat is OK
luntrus

Raar, want wat is dit? https://login.mett.nl/Account/Login?ReturnUrl=%2f%3fwa%3dwsignin1.0%26wtrealm%3dhttps%253a%252f%252fwww.mett.nl%252f%26wctx%3drm%253d1%2526id%253dhttps%25253a%25252f%25252flogin.mett.nl%25252f%2526cx%253d6fe1ed8e-f900-48d2-bbf1-6d7072398a4d%2526ru%253dhttps%25253a%25252f%25252fwww.a27houtenhooipolder.nl%25252f%26wct%3d2019-04-28T16%253a10%253a41Z%26wreply%3dhttps%253a%252f%252fwww.mett.nl%252f&wa=wsignin1.0&wtrealm=https%3a%2f%2fwww.mett.nl%2f&wctx=rm%3d1%26id%3dhttps%253a%252f%252flogin.mett.nl%252f%26cx%3d6fe1ed8e-f900-48d2-bbf1-6d7072398a4d%26ru%3dhttps%253a%252f%252fwww.a27houtenhooipolder.nl%252f&wct=2019-04-28T16%3a10%3a41Z&wreply=https%3a%2f%2fwww.mett.nl%2f

en de check op het certicaat:

Conclusie, rijksoverheid.nl en aanverwante zaken geeft een vrij gefragmenteerd beeld. Beslist niet eenduidig veilig.

#sockpuppet

Ik krijg in deGoogle nieuws app als ik dit open in Brave op Android
een NET_ERR_CERT_AUTHORITY_INVALID waarschuwing bij
https://computertotaal.nl/? API_COOKIE_REDIRECTED=True
en de fout is "not a fully qualified public domain name or public IP address".

Het SSL Certificaat is echter geldig en goed geinstalleerd.

Weer die achterbakse streken van Google, waar Mozilla developers ook steeds over klagen.
Fouten veroorzaken en dan steeds beloven het binnen 14 dagen op te lossen,
zo komen ze op slinkse manieren aan hun 68% aandeel van de browsermarkt
met nog 6% voor de Mozilla gecko browser.

In ons landje ligt overigens de chromium proliferatie nog veel hoger.

De Ierse waakhond bijt ook niet of heeft dat al van het begin af nagelaten
om zodoende zeer welkom Amerikaans Big Tech kapitaal naar Ierland te lokken.
Die ga je niet uit je land verjagen door echt maatregelen te nemen.

Zo zit Google en Facebook en consorten ook in overig Europa op rozen.

Wij de eindgebruikers zijn over het algemeen de dupe van deze voortgaande monoploisering op de browsermarkt.
Zelfs certificering is in het geding, want het doel heiligt kennelijk alle middelen.

#sockpuppet

Zie hier: https://aw-snap.info/file-viewer/?protocol=secure&ref_sel=GSP2&ua_sel=ff&chk-cache=&fs=1&tgt=fHBbLn17c2hbZnQubmxgfF5eXXVudHNgXl1da1t7LV5oe15rYDxzW3R7PTcmdX1bPWA8JTIwfFBbX15dXUtbe199eyNbfXteVHsjPVR9dXsmfFBbX15dXUtbe199eyNbfXteVHsjPVR9dXs%3D~enc domein is gereserveerd voor Reshift Digital B.V. -> https://toolbar.netcraft.com/site_report?url=https%3A%2F%2Fcomputertotaal.nl%2F%3F%2520API_COOKIE_REDIRECTED%3DTrue
-> OK -> https://www.virustotal.com/#/ip-address/149.210.193.187
Gevonden 1 kwetsbare jQuery bibliotheek via Retire.js #sockpuppet

Dit is waarom ik het hier meld... hopelijk word ik dan wat minder vaak bespot ;) Als ik tijd en geld zou hebben zou ik de hele dag dit soort zaakjes tegen het licht houden.

De overheid heeft er blijkbaar geen tijd of oog voor. In dit geval kunnen oude mails worden onderschept of nieuwe verstuurd en je weet nooit voor elke doeleinden.

gov.nl claimen of een soortgelijk domain.

Dit heeft 4 voordelen:

1. de burger weet waar hij aan toe is
2. geen honderden domeinnamen die elk jaar verlengd moeten worden (administratie, meerdere providers, kosten)
2b. vermindering aantal SSL certificaten dat gekocht hoeft te worden
3. de baten van punt 2 gaan in een centraal beheerspunt (gov.nl) die regelmatig alle subdomeinen checkt en alles bijhoudt
4. makkelijk gecentraliseerd monitoring van cyberattacks op overheidsinstanties, ook weer te verkopen aan het CBS enz
4b. idem maar dan globale controle van email/spam/phishing attacks, MX template uitrollen voor grote instanties en kleine instanties onder een primaire MX

Check ook even of ze PKI Overheid gebruiken. Zo niet, dan kun je er wel van uit gaan dat iemand anders het domein overgenomen heeft.