Door Anoniem: Door Erik van Straten: Door Anoniem: Zij worden nu dus langzameerhand min of meer gedwongen om eindelijk ook op het veiligere https over te stappen, en dat kan gewoon gratis met Let's Encrypt.
Dus als ik een http site heb met cracks en andere malware-laden meuk, zal Chrome, als ik https met een Let's Encrypt certitifcaat configureer, zeggen dat mijn meuk veilig is? Hey bro, tnx voor de tip!!!
Jij weet wel beter. Ik heb het woord "veilig" niet eens genoemd. Dat maak jij ervan. Testing me?
Het
enige dat je weet met een DV certificaat (zoals Let's Encrypt) is dat de domeinnaam in de URL-balk overeenkomt met de domeinnaam in het certificaat. Het feit dat elke malloot gratis zo'n certificaat kan krijgen en dat de meeste media en overheden melden dat een slotje voor een "veilige website" staat, waardoor meeste mensen denken dat dit de waarheid is, geeft een enorm vals gevoel van veiligheid.
Dat mensen niets van domeinnamen begrijpen leert ook het UM incident ons: als een aanvaller schrijft "Download form Microsoft OneDrive" en vervolgens een URL heeft die begint met
https://cdn2.onedrive-download-en[
.]
com/ (zonder die bakhaken natuurlijk) dan trapt men daar gewoon in. Niet voor niets zie je dat malwaremakers dat soort URL's gebruiken, die, zonder uitzondering, van DV certificaten (met name Let's Enrypt) gebruikmaken. Onderaan
https://www.proofpoint.com/us/threat-insight/post/ta505-distributes-new-sdbbot-remote-access-trojan-get2-downloader kun je, onder het kopje "Indicators of Compromise (IOCs)", een heel stel van dat soort domeinnamen zien, zoals:
https://update365-office-ens[.]com/
https://windows-update-sdfw[.]com/
https://office365-update-eu[.]com/
https://windows-me-update[.]com/
Mensen trappen daar gewoon in. Ze zien ofwel een slotje, ofwel geen http met rode streep erdoor, dus is het veilig. Zo werkt dat.
Door Anoniem: Het punt is dat het a) onveilig, en b)privacy-onvriendelijk is als men alleen via http kan downloaden.
De downloadstream kan onderweg nl. worden meegelezen of nog erger: eenvoudig worden gemanipuleerd.
en
Door Anoniem: Er is een verschil in een veilige verbinding of veilige content.
Klopt. En wat we met techniek nooit zullen kunnen realiseren is aangeven hoe
betrouwbaar de maker van een website en/of downloadable files of streams is.
ECHTER: wat we
wel met techniek kunnen realiseren, is hoe
authentiek downloads en websites zijn: d.w.z. dat we kunnen vaststellen wie de eigenaar en/of auteur daarvan is (en dat bij voorkeur zodanig dat we een idee hebben van de betrouwbaarheid van
die informatie). DV certificaten, waaronder die van Let's Encrypt, vertellen je
helemaal niets over de eigenaar van een website. Waardoor je, ook al zou je willen,
niet kunt bepalen wie die eigenaar is. Het kan net zo goed om een gehackte server gaan waar een crimineel een look-a-like domeinnaam en een Let's Encrypt certificaat voor heeft geregeld - dat is allemaal zo gebeurd.
Ik ben van mening dat het uiteindelijk veiliger is om een bestand met een fatsoenlijke digitale handtekening via http te downloaden, dan een unsigned bestand via https vanaf een website met een Let's Encrypt certificaat. Waarbij voorop staat dat je moet controleren
wie die handtekening gezet heeft (iets wat Microsoft standaard laat zien als je een gedownload bestand probeert te openen).
Daarna moet je voor jezelf nagaan of je die partij vertrouwt (d.w.z. de partij die de handtekening gezet heeft). Mooier kunnen we het niet maken.
Nb. in het "echte" leven kun je ook bedrogen worden door niet-eigenaars die concertkaartjes, auto's, panden en de Eiffeltoren verkopen (die laatste zelfs 2x, zie
https://en.wikipedia.org/wiki/Victor_Lustig).
Kan het vaststellen van digitale authenticteit beter? Ja, enorm veel beter. Maar de
gewekte suggestie dat downloads via https altijd veiliger zijn dan via http, is m.i. hartstikke gevaarlijk. En hypocriet van Google als je kijkt naar de boterberg die zij op haar hoofd heeft (zie mijn eerste bijdrage op deze pagina).