"Tls-certificaten" is een wat gekunstelde term,
die verwarring kan veroorzaken bij mensen die op dit vlak minder verstand van zaken hebben.

Daarom:
"While many vendors tend to use the phrase "SSL/TLS Certificate", it may be more accurate to call them:

"Certificates for use with SSL and TLS",

since the protocols are determined by your server configuration, not the certificates themselves."
(Bron: https://www.globalsign.com/en/blog/ssl-vs-tls-difference/

Meh. Ik vond het juist 1 van de betere aanwijzingen dat iets legit was. Ik denk dan ook dat als je zelf al een EV op een bank van een naam kunt krijgen dat als je met phishing begint dat het heel snel terug gerevoked zou worden. Ook kostte het goedkoopste EV certificaat dat ik ben tegengekomen minstens € 70, dat is vrij veel om een aanval te starten. Ook moet het juridisch allemaal inorde zijn. Daar zijn echter veel tekortkomingen geweest.

Maar langs de andere kant vind ik het ook weer goed. Spearphishing is met criminele EV certificaten immers veel gemakkelijker.

Ik zou het veel interessanter hebben gevonden als ze het systeem deftig hadden gerevamped met veel meer limitaties.

snap werkelijk waar niets van deze maatregel.

Het EV certificaat was nu juist het enige waar aan je kan zien of een site legit is of niet.

Je kan met 1 click een gratis certificaat krijgen via letsencrypt wat NIETS zegt over de aanvrager of website waar het gebruikt gaat worden.

Bijk een EV certificaat daar en tegen wordt uitgebreid onderzoek gedaan naar de aanvragende partij en als er ook maar iets niet in de haak blijkt te zijn krijg je het simpelweg niet.

dus samenvattend: WHAT THE HELL?!

Ik draai Firefox 70 atm, en in about:config is er een flag beschikbaar om EV certs toch weer te geven.

security.identityblock.show_extended_validation ; zet deze setting op true voor weergave EV certs.

Ikzelf kan EV certificaten best waarderen, en vind ze zelf niet overbodig.

Dus dat betekent weer dat Google opnieuw gevolgd wordt.
Wordt Google niet een beetje al te dominant in browserland?

Dan maar zelf even checken, neen, dat hoeft niet, want ze zijn al dood verklaard:
https://www.troyhunt.com/extended-validation-certificates-are-dead/
en als Troy Hunt dat zegt, is dat niet zomaar iemand.

luntrus

Inderdaad heel jammer dit. En dit alleen maar omdat de USA kennelijk geen federale KvK o.i.d. heeft die voorkomt dat je in een andere staat een bedrijf met dezelfde naam kunt beginnen, en EV-certificaten slechts "US" (of "USA", dat weet ik even niet) vermelden waardoor duplicaten mogelijk zijn. In Nederland speelt dit probleem niet (voor bij de KvK ingeschreven ondernemingen).

De correcte benaming zou m.i. "servercertificaten" moeten zijn. Immers zij koppelen een domeinnaam (of een publiek IP-adres) aan een public key, en in zo'n certificaat moet zijn vermeld dat het gebruiksdoel in elk geval server-authentication is.

Hoewel dit soort certificaten meestal voor TLS verbindingen worden gebruikt (https en smtps) is er, bij mijn weten, niets dat andere toepassingen onmogelijk maakt (zoals bijvoorbeeld RDP en SSH). Terzijde: het authenticatieproces bestaat eruit dat de server bewijst over de geheime private key te beschikken die past bij de public key in het certificaat.

Geld speelt voor cybercriminelen nauwelijks een rol, maar bewijzen dat jij geautoriseerd bent om voor een domeinnaam een EV-certificaat aan te vragen, is erg lastig en het duurt vaak relatief lang voordat je zo'n certificaat krijgt. Allemaal zaken waar cybercriminelen niet van houden.

@Anoniem 11:33: volstrekt mee eens.

Ik gebruik sinds een tijdje de Firefox extension "Certainly Something" van April King (Mozilla staff security engineer).
Deze is open source (https://github.com/april/certainly-something) en kun je hier downloaden: https://addons.mozilla.org/en-US/firefox/addon/certainly-something/.

Deze plugin werkt ook in Firefox onder Android, met in dat geval één known bug: als je, vanaf een site met een https verbinding, teruggaat naar de Firefox "home page" dan staat het icoontje nog rechts in de URL balk, en als je erop klikt krijg je de certificaatinfo van de laatstbezochte site te zien.

Vanuit deze extension kun je ook eenvoudig certificaten opslaan (naar keuze het certificaat zelf of de hele chain). Je ziet ook meteen welke cipher-suite er wordt gebruikt (ik zie Google.com bijv. al TLS v1.3 gebruiken).

Aanvulling, @luntrus: jij bent ook niet zomaar iemand en ook ik ben dat niet. Ik heb vaak dingen achteraf fout gehad waarvoor ik voldoende goede argumenten meende te hebben, maar de tegenargumenten aanvankelijk nog niet kende of bagatelliseerde. Ik heb best respect voor Troy Hunt, maar op dit punt ben ik het totaal niet met hem eens. Ik vertel mensen dat ze, als ze internetbankieren, op een groen slotje moeten letten - dat voordeel is nu weg. En zonder dat er iets voor terugkomt.

@Anoniem, 11:40 uur....fantastische tip!

Ik ben al jaren gewend om dat groene slotje te zien in de wetenschap dat het dan EV certificaten zijn. Controleer vooral op mij nog onbekende sites toch nog wel verder, maar ik vond het toch uiterst vervelend dat deze signalering totaal zou zijn verdwenen.

Hartelijk dank!

Helder.

Https is om er zeker van te zijn dat je veilig met de andere kant praat. Dat daar geen vreemde tussen kan gaan zitten afluisteren.

Zo een groen slotje wekt de indruk dat de andere kant, waar je dus veilig mee praat, ook te vertrouwen is. Al zeker als de naam van de firma in de adresbalk verschijnt.

Zo geeft het dus ongewenst de indruk dat bijvoorbeeld banken altijd te vertrouwen zijn.

Dat grijze slotje is duidelijker. De verbinding is veilig. Over de betrouwbaarheid van de andere kant zegt het natuurlijk niks. Trump en Erdogan zullen ook wel zo'n groen slotje hebben. En als het wat kost om hun naam er nog bij in de browserbalk te laten verschijnen dat zullen de kosten niet zijn.

@ Erik van Straten van 12:25

Ik haalde alleen maar deze link met Troy Hunt aan voor de plaatsbepaling in de discussie.
Jij weet, Erik, dat je mij meer dan eens aan je zijde treft en terecht vanwege je conclusies,
die ik veelal deel.

We konden allemaal deze bui al zien hangen toen Symantec Certification de pijp aan maarten gaf
en Comodo er tevens de brui aan gaf.
Kijk maar naar de invloed, die het pushen van Let's Encrypt door Big Tech op de achtergrond heeft gehad.
En uiteindelijk draait allles toch om de 'pecunia'.

Het heeft met nog een heleboel andere maatregelen een ondergravende rol op TRUST on Internet.
Wie garandeert nu, dat jouw click een veilige click is - of is dat allemaal achteraf gepraat.

Net als met advertenties en blokkering. Kan degene, die tegen advertentie blokkers zijn,
een malware vrije advertentie omgeving garanderen? In dat geval heft ik subiet mijn adblokker op,
eerder niet.

En geloof me, ze kunnen dat van geen kant, want ze willen misbruik niet grondig aanpakken en uitroeien.
Niemand kan dat echter bewijzen, want dat zou het einde van het probleem kunnen inluiden.

Hoe ver moeten security researchers bij het vaststellen van abuse nog gefrusteerd worden?
De belangrijkste vraag hierbij is echter welke partijen profiteren hier het meest van en
vinden daarbij de scammers, spammers, fraudeurs en andere cybercriminelen direct in hun kielzog?

Mijn bezwaar - het worden allemaal minder transparant en minder te overzien
of moeten we alleen maar blind varen op de aanwijzingen van Google Safe Browsing en Virus Total
(ook eigendom van Google's).

Simpele oplossingen dus bedacht voor simpele zielen, https connectie - slotje - OK.

Het lijkt wel of de commercie een dikke middelvinger opsteekt naar de mensen/eindgebruikers,
die veilig willen blijven.
Om helemaal maar te zwijgen over de technisch onderlegde power-user en technische IT-ers.

luntrus

Google was niet de eerste. Apple is er al eerder mee gestopt om de EV naam weer te geven. Hoewel daar nog wel onderscheid is via groene en grijze slotjes.

Wat vind jij dan van heel dit soort ontwikkelingen, Briolet?

We komen een heel eind verder bij onze inzichten via het uitwisselen van argumenten.
Ik wist niet dat EV weglaten het eerst bij Apple is gedaan.
Dank voor deze correctie van de info. ;)

Gaat het daarbij omdat dat het communicatie niveau met de gemiddelde eindgebruiker is.
Zijn ze wellicht bang anders door het begripsplafond te kunnen breken?

Als dat zo is, wordt het gevaarlijk voor de gemiddelde gebruiker op een device.

luntrus

volgens mij begrijp je het niet.

niemand zal zeggen dat een site met eengroen slotje te vertrouwen is, dat is ook niet het doel van EV.
echt
Het doel is.. of was.. blijkbaarr... dat je zeker weet dat de eigenaar die genoemd wordt ook echt de eigenaar is (de rechtspersoon).

Dus als er staat: deze site is van "Trump BV - we shall screw you over and not lie about it" dan weet je zeker dat het van het bedrijf Trump.BV is ook al zou deze niet te vrtrouwen zijn.

Dus ja, dat heb je dan wel weer goed, als er staat "Bank zus en zo N.V." dan weet je zeker (DANKZIJ dat groene slotje) dat het een bedrijf met discutabele reputatie is ;)

Met een grijs slotje zo het een site van een eerlijk bedrijf kunnen zijn.. dat garandeert het dan niet.

Maar wat nu als het certificaat van een scammer op naam staat van een certificering bedrijfje in Panama,
die de echte eigenaar voor u/van u weghoudt. Wat is de waarde van zo'n obfuscated certificate?

Kijk eens hier: https://www.scamadviser.com/check-website/isitascam.org

Ik zie steeds meer "de bedrieger bedrogen" online. Daar word je niet vrolijk van, toch?

#sockpuppet

Het enige wat het slotje verteld is dat er een certificate wordt aangeboden die de browser vertrouwd. Kan nog steeds een MitM sessie zijn, wordt ondermeer veel gebruikt voor deep packet inspection .
(sessie wordt opengebroken onderzocht en dan weer encrypted door gezet) de enige metode om DPI te voorkomen of in er in ieder geval bewust van te zijn is om het certicate te onderzoeken) . Dus de specifieke stelling dat een verbinding veilig is met een grijs slotje is een niet geheel juiste stelling.

De toegevoegde waarde van een EV certificaat is het uitgebreide authenticatie en verificatie proces dat vooraf gaat aan uitgifte van een dergelijk certificaat. In technische zin doet een dergelijk certificaat hetzelfde als een niet EV certificaat. Bij extended validation heb je in feite ook een keurmerk, zodat men ook met zekerheid weet met welke partij men te maken heeft. De EV uitgevende CA geeft een zekere garantie. Bij de uitgifte van standaard certificaten zijn de controles veel minder uitgebreid en vaak zelfs geautomatiseerd. Derhalve zijn standaard SSL certificaten ook goedkoper of zelfs gratis.

Wat het tragische aan dit alles is, is dat net als een heleboel andere zaken,
extended validation certificaten onderhevig zijn aan een voortschreidend verlies aan TRUST.
Het begrip "vertrouwen" online raakt steeds meer en meer "uitgehold".

De talrijke oorzaken zijn niet eenduidig aan te duiden.
Wat denkt men hier op security dot nl hieromtrent?

Lees hierover dit bedreigingen-rapport.
https://www.zscaler.com/blogs/research/february-2018-zscaler-ssl-threat-report

Troy Hunt kreeg ook bijval hier weer uit Belgische hoek:
https://ma.ttias.be/the-end-of-extended-validation-certificates/

Moeten we nu echt allemaal aan de gratis Lets Encrypt Certificering geloven,
Heeft al het andere geen zin meer?

luntrus

Maar met een groen slotje heb je aanzienlijk meer zekerheid dat niemand onderweg meekijkt.

Als je nu namelijk, met een browser die nog wel onderscheid maakt tussen EV- en andere certificaten, https://mijn.ing.nl/ opent (of een andere bank in .nl) en GEEN kenmerken van een EV-certificaat ziet, weet je zeker dat je verbinding ge-MitM-ed wordt.

En andersom, als je WEL de kenmerken van een EV-certificaat ziet, weet je zeker dat niemand meekijkt op de verbinding tussen jouw webbrowser en de (TLS-terminating) webserver. Dit natuurlijk onder de voorwaarde dat jouw webbrowser niet is gecompromitteerd, want in dat geval kan de aanvaller het slotje elke door hem gewenste kleur geven.

De reden dat MitM-devices/virusscanners geen fake EV-certificaten kunnen genereren voor websites die wel een EV-cert naar die MitM sturen, is dat webbrowsers een hard-coded lijst van erkende EV-rootcertificaten aan boord hebben. Een door jou (of door jouw werkgever) toegevoegd rootcertificaat van zo'n MitM kan daardoor geen EV-status krijgen.

L.S.

Met de Certificate Info extensie kun je zo zien of er sprake is van IV of DV.

Security dot nl heeft bijvoorbeeld IV identity validation en dazzlepod dot com DV ofwel domain validation,
met het hele public key block zichtbaar.
Fijne extensie voor zowel de developers en powerusers/researchers onder ons.
Waarvan akte,

#sockpuppet

Ohnee? Vraag jij eens een SSL certificaat aan voor mijn domein dan...

Je snapt kennelijk niet van welke kwetsbaarheid phishers misbruik maken, namelijk die tussen de oren van mensen.

Veel phishers hacken ergens een server met een bepaald IP-adres en registreren daarvoor een domeinnaam die erg op jouw domeinnaam lijkt, en sturen vervolgens massaal phishing mails. Sites als bol.com en security.nl hebben daar niet veel last van, want iedereen kent die domeinnamen. Maar een domeinnaam zoals icscards.nl (voor toegang tot de rekening achter Visa kaarten) kun je eenvoudig wijziging in ics.nl, ics-cards.nl of mijnicscards.nl waardoor mensen het vaak niet doorhebben dat ze op het verkeerde domein zitten.

Ook huren phishers cloudruimte bijv. bij Microsoft en krijgen vervolgens automatisch een (DV) certificaat - van Microsoft. Ideaal om mensen erin te laten trappen door ze te laten denken dat ze op hun Microsoft-account inloggen.

Ook een mooie vind ik die van onze zuiderburen: het certificaat van het domein https://www.verkeersboetes.be/ is van Amazon. Hoe weet je in vredesnaam of dit een gespoofde site is, of een echte van de Belgische overheid? Onze eigen overheid registreert, gok ik, meerdere domeinen per dag waarvan je maar moet raden of ze echt van onze overheid zijn. Met het bijbehorende risico dat zo'n domein op een gegeven moment verloopt en in handen van kwaadwillenden valt (ze leren het nooit, zie https://www.security.nl/posting/500610/Politie+lekt+gevoelige+e-mails+via+verlopen+domeinnamen).

Wat zullen bezoekers van jouw site (of e-mail-stuurders naar jouw domein) van jou vinden als jij jouw domeinnaam op een gegeven moment laat verlopen (wegens desinteresse of wat dan ook) en bezoekers nergens aan kunnen zien dat het NIET jouw site meer is?

Het probleem van DV certificaten is niet dat ze vaak onterecht voor een specifieke domeinnaam worden uitgegeven (hoewel dat wel voorkomt na domainname-hijacking, want dan heeft een aanvaller in no time zo'n certificaat), maar vooral dat mensen moete hebben met, uitgaande van een organisatienaam die ze kennen, het onthouden van welke domeinnamen van die organisatie zijn, en -nog lastiger-, zeker weten dat een domeinnaam die ze te zien krijgen BESLIST NIET (of niet meer) van een bepaalde organisatie is. En kwaadwillenden daarvoor, zonder enige vorm van authenticatie en notabene gratis en in no time, een DV certificaat kunnen verkrijgen.

Dat is juist waar extended voor bedoeld is lijkt me, wat voor toegevoegde waarde heeft dat immers dan.

Hmm, over de volgende opmerking heb ik gisteren heengekeken (met dan aan anoniem 15:23 hierboven):
Ik heb nog nooit gelezen dat bij een spear-phishing aanval een onterecht verkregen (niet via een pentest bedoel ik) EV-cert is gebruikt. Ik ben benieuwd of jij weet hebt van een of meer van dergelijke gevallen. Links please?

Maar het zal vast wel eens zijn voorgekomen. Dan nog: wat denk je dat de verhouding is tussen het aantal (wel en niet spear-) phishing situaties waarbij DV-, OV- versus EV-certificaten zijn gebruikt?

Iets met kans x impact, weet je nog?

Heeft u hier al gecheckt? -> https://certbot.eff.org/hosting_providers
en hier? -> https://www.whynopadlock.com/

#sockpuppet

Thanks voor de tip

De waarde van EV voor het authenticeren van de vermeende identiteit blijkt uit het onderzoek van Google/Mozilla/e.a. laag te zijn; de waarde van TLS/SSL voor bescherming van de vertrouwelijkheid van de verbinding is daarbij niet in het geding.
Voor het authenticeren van een identiteit is echter DNSSEC, eventueel i.c.m. DANE, heel geschikt. Wonderlijk dat in heel tip topic DNS in dit verband nog niet is genoemd.

Terzijde, met de komst van DNS over HTTPS, wordt de rol van de DNS provider veel machtiger. Als webbrowsers voor DNS volledig rusten op een specifieke (eigen) DNS provider, dan krijgt die provider behalve goede mogelijkheden het browsen beter te beveiligen, maar ook meer mogelijkheden te sturen op wat er in de browser tevoorschijn komt.

@ Joep Lunaar,

Maar waarom dan nog zo relatief zeer weinig DNSSEC en DANE geimplementeerd?
Waarom ook zo weinig security headers ingesteld over de hele linie?

Kun je dat eens uitleggen? Wat Google en Mozilla gebruikt moet dan toch minimaal DNSSEC draaien.
Heeft jouw provider het trouwens al?

Security blijft nog steeds iets om op te bezuinigen, omdat de besluistnemers er geen verstand van hebben
en degenen, die er verstand van hebben er niet toe doen. Daar zit de grote breuklijn.

Maar hoe krijg je deze 5e elitaire kolonne weg? Zichzelf vinden ze in ieder geval heel geweldig,
in blauw driedelig en met strikdas om bepalen zij de infrastructuur.

luntrus

Daarbij negeren zij het probleem van phishing volledig. Als een gebruiker de exacte domeinnaam van een organisatie kent, en niet in opzettelijke verschrijvingen daarvan trapt, is er inderdaad niks aan de hand. Je kunt natuurlijk je ogen sluiten voor de risico's (waaronder phishing, SEO spamming en typosquatting). Risico's die enorm zijn vergroot door het gemak waarmee cybercriminelen DV-certificaten voor "klinkt-als" domeinnamen op gehackte webservers kunnen krijgen. En die een doorsnee gebruiker, als gevolg van deze wijziging, niet meer van een EV-certificaat kan onderscheiden.

Dit probleem wordt verder vergroot door naïeve (zeg maar gerust debiele) organisaties die gebruikers geen enkel betrouwbaar handvat geven om vast te kunnen stellen of een gegeven domeinnaam wel of niet van die organisatie is. Zo las ik gisteren dat een London's waterbedrijf, Thames Water, een nieuw softwaresysteem in gebruik heeft genomen dat vereist dat gebruikers hun accountgegevens updaten. Alle klanten kregen een e-mail met het verzoek om, in plaats van op de gebruikelijke site:
thameswater.co.uk
met hun oude accountgegevens in te loggen op:
online-thameswater.co.uk
(waarbij https://online-thameswater.co.uk/ notabene een certificaatfoutmelding geeft, zo zag ik). Hoe phishy kun je het maken... Bron: https://www.theregister.co.uk/2019/10/17/phishing_101_click_here_to_reregister/

Wat heb ik in vredesnaam aan een 100% betrouwbaar telefoonboek als ik door een kwaadaardige telefooncentralist kan worden doorverbonden met een ander dan het nummer dat ik draai? DNSSEC en DANE helpen geen moer tegen MitM's tussen browser en webserver (evt. middels BGP hijacks). En ook niet tegen phishing, typosquatting etc. Complete onzin dus. Aanvulling 13:59: dat is wat cru gesteld, mijn excuses voor de toon. DNSSEC en/of DANE kunnen de risico's van "gewoon" DNS-verkeer mitigeren, maar dat is maar een deel van de problematiek.

Ik wil zeker weten met welke organisatie ik communiceer; wat hun actuele domeinnaam is boeit me niet. Tot nu toe toonden servercertificaten van risicovolle sites, op voldoende betrouwbare wijze, aan dat de toevallige server op dat moment daadwerkelijk van de bedoelde organisatie is. Dat systeem wordt nu uitgehold en DNS-trucs verhelpen dit niet.

Erik van Straten +100,

Het ene zowel als het andere zal dan nodig zijn, beste Erik.

Dit vaststellen, hergeen je prachtig doet via je Thamses Water verhaal
(een soort van "see it, say it, sorted", wat via British Rail mij van twee weken geleden in Greater London,
mij nog in de oren naklinkt).
Dat waarna het niet allemaal echt zo "sorted" blijkt als men wel wil doen geloven,
is een deel van dit "who should we really TRUST" probleem.

Wie vormen het andere deel van het probleem?
"When you are not part of the solution, you are part of the problem", zegt men in de States.

Weet men het allemaal, maar houdt men het zo, omdat het beter uitkomt
en meer oplevert voor bepaalde grote spelers.
Facebook als privacy voorvechter bijvoorbeeld.
De gotspeh alleen al.

Of is de hele keten verkeerd bezig en missen velen het inzicht van een Erik van Straten of een Joep Lunaar, e.a.

Waar zit de crux van het probleem? Wie zitten de oplossing in de weg?
Benoem dat dan ook eens door man en paard te noemen. Draai er niet langer omheen met z'n allen.

Ook waar is dat zoals de antieken zeiden, dat de problemen "te paard" komen, maar echter "te voet" weer verdwijnen.
We zijn dus zo in de problemen gebracht, maar het duurt eindeloos om er weer uit te geraken.
Het maakt wederom niet vrolijk. En het gebruikerscircus dommelt door.

luntrus.

DNSSEC is wel degelijk ruim beschikbaar, .nl is in elk geval signed en je moet wel een heel achterlijke DNS service gebruiken voor een NL domein wil dat niet met DNSSEC zijn beveiligd (bijv. Vimexx, XS4ALL, MijnDomein, ONE.com gebruiken allemaal DNSSEC).

DANE is nog weinig in gebruik en het lijkt dat de grote webbrowser leveranciers hier een rol spelen; die geven voorkeur aan beveiligingsoplossingen uit eigen doos; het gebruiik van DoH (DNS over HTTPS) past in die strategie.

Op zich waar dat winstbejag en onkunde niet helpen om beveiliging op een behoorlijk niveau te krijgen. Voor Mozilla, Google en ook Apple is dat echter zover ik kan waarnemen niet het geval, beveiliging is voor hen een "selling point".

Misleiding met een gelijkende domeinnamen is natuurlijk een probleem en een EV certificaat kan een gebruiker wellicht helpen daar niet in te trappen, maar uit het onderzoek van Mozilla bleek dat niet erg effectief (omzeilbaar en hoewel doelmatig zijn gebruikers niet erg alert). Initiatieven als Google Safe Browsing zijn denkelijk effectiever daartegen.

Bizar inderdaad, hier is geen kruid tegen opgewassen. (Thames Water heeft overigens nog wel meer problemen zoals een leidingstelsel dat heel veel water lekt).

Je zorg is begrijpelijk, maar DNS is en kan geen beveiliging bieden tegen verkeerd doorverbinden. Certificaten op een end-to-end verbinding (HTTPS) kunnen helpen, maar er zijn te veel CAs (en registrating authorities) die ten onrecht certificaten uitgeven, zelfs EV, dat blijkt keer op keer; the Web is broken. Ik ben geen expert, maar ik vermoed dat een verifieerbaar correct werkend DNS meer bijdraagt aan een goede beveiliging dan een certificaat, ook al is dat EV. Wat minder scherp gesteld, het zijn allemaal elementen die kunnen helpen, maar een perfecte oplossing voor authenticatie op de schaal van het Internet is er stomweg nog niet en misschien is dat zelfs maar beter ook, want een volledig gecontroleerd Internet is ook niet alles.