Voor mijn mening hierover zie https://www.security.nl/posting/645028/Apple+certificate+crazyness.

Dan zouden de prijzen van de certificaten ook moeten worden gehalveerd*, maar dat zal wel weer niet gebeuren.

*Daar Let's Encrypt gratis is heeft een halvering van de prijzen van hun certificaten weinig zin... :-)

Let's Encrypt en andere DV-certificaten bieden gebruikers geen enkele mogelijkheid om vast te stellen of een gegeven domeinnaam van de kennelijke organisatie is, waarmee DV certificaten phishing en andere vormen van identiteitsfraude eenvoudig mogelijk maken. Met diefstal (gegevens en/of geld), malware en fake news als gevolg.

Prima als je jouw thuisservertje van een DV-certificaat wilt voorzien. Maar als andere internetters eenvoudig met een lijkt-op (of verlopen/DNS-record gehackte/BGP-gemanipuleerde) domeinnaam gefopt kunnen worden, ben je een hufter als je ze inzet. Ja, een DV certificaat toont met enige zekerheid aan dat jouw browser verbinding heeft met de getoonde domeinnaam, maar meer ook niet. En het probleem is nou juist dat cybercriminelen misbruik maken van het feit dat gebruikers een gegeven domeinnaam, die lijkt op die van jouw servertje, niet kunnen onderscheiden van de echte domeinnaam van jouw servertje. Dat probleem los je JUIST niet op met een DV-certificaat - integendeel. Het heeft een slotje dus het zal wel goed zijn.

DV speelgoedcertificaten zijn dan ook totaal ongeschikt voor websites waar veel bezoekers komen die de domeinnaam niet kennen of kunnen onthouden, en waarvan de authenticiteit belangrijk is i.v.m. getoonde informatie en/of de gegevens die gebruikers daar achterlaten.

Zie ook mijn reacties in https://www.security.nl/posting/645035/Grapperhaus%3A+bestrijding+van+phishing+begint+met+awareness.

Tja daar heb je nou de negatieve gevolgen van "alles moet https worden" waar ik zovaak op gehamerd heb!
Door die DV certficaten (en Let's encrypt als extreme vorm daarvan) is het hele systeem nutteloos geworden.
Straks moet er weer een extra laag overheen gebouwd worden om te checken of je wel met de juiste organisatie praat.
Dat organisaties er zelf een puinzooi van maken door vele subtiel verschillende 2nd level domeinen te registreren in plaats
van subdomeinen te gebruiken voor hun diverse applicaties dat maakt het allemaal nog erger. Immers als je alles volledig
dicht getimmerd hebt met EV certificaten DAN NOG weet je niet of je wel met het bedrijf praat waar je denkt dat je mee
praat.

@erik, dan ga je er vanuit dat bezoekers dit onderscheid kunnen maken. Maar dat kunnen ze niet. Sterker nog, browsers tonen default het verschil niet meer. Ik volg wat je zegt, maar in de praktijk werkt dit niet zo.

Waar haal je dat "halveren" vandaan? Een certificaat van Let's Encrypt is nu al slechts 3 maand geldig. Volgens mij is de 398 dagen waar Apple naar toe wil nog steeds langer dan 3 maand.

Ik weiger om mijn schouders op te halen en blijf aan de bel trekken totdat de situatie verbetert. We kunnen niet met z'n allen roepen dat gebruikers niet op foute links moeten klikken, zonder ze de handvatten te geven om in te zien waarom een link fout is en ze er dus niet op moeten klikken (of waarom deze OK is en klikken veilig is). Natuurlijk zullen er altijd mensen zijn die dan toch nog op links met valse domeinnamen klikken, maar dat aantal mensen kan omlaag. We moeten beter ons best doen aan de serverzijde.

En daarbij moeten we een stap verder denken dan we nu doen. Als een groep mensen een organisatie kent aan de hand van hun domeinnaam (zoals security.nl, tweakers.net, bol.com, wikipedia.org, ...), zal die groep mensen niet snel gefopt worden met een afwijkende domeinnaam. Vooral als er voor cybercriminelen weinig te halen valt, kunnen dergelijke sites wellicht volstaan met een DV-certificaat. Maar voor sites die we zelden bezoeken, of waar we voor de eerste keer naartoe gestuurd worden, geldt dit niet - een gegeven domeinnaam kan (tenzij duidelijk herkenbaar zoals *.overheid.nl) net zo goed echt als vals zijn.

Aangezien de meeste fake sites DV-certificaten gebruiken, helpt ook het certificaat niet om het onderscheid te kunnen maken (nadat de gebruiker de pagina geopend heeft), zeker niet als legitieme grotere sites ook DV-certificaten gebruiken. Het veiligst zou het zijn als DV-certificaten geheel niet zouden bestaan, of als browsers een indicatie van de betrouwbaarheid van de authenticiteit zouden tonen.

Overigens las ik net dat Let's Encrypt heeft ingezien dat hun DNS-gebaseerde authenticatie toch niet zo betrouwbaar was als velen (ook op deze site) tot nu toe beweerden, zie https://letsencrypt.org/2020/02/19/multi-perspective-validation.html. Daarbij verwijst Let's Encrypt naar onderzoek uit 2018 (dat ik nog niet kende) waarin wordt aangetoond dat DNS-gebaseerde certificaatuitgifte kan worden misleid middels BGP attacks: https://www.usenix.org/conference/usenixsecurity18/presentation/birge-lee. Mijn bron: https://www.heise.de/newsticker/meldung/Let-s-Encrypt-fuehrt-mehrfache-Verifikation-ein-4665827.html.

Maar zelfs meerdere DNS-routes helpen niet als bijv. netwerkapparatuur bij een hostingprovider gehijacked is door cybercriminelen of geheime diensten: als zo'n aanvaller zich toch tussen de bedoelde server en de DNS-checkers van een DV-certificaatprovider weet te wurmen, kan zij namens die server een DV-certificaat aanvragen. En dat in no time. En meteen daarna (desgewenst selectief) inzetten. Zonder iets op de betreffende server zelf te hoeven wijzigen.

Maar nogmaals, de betrouwbaarheid van DV-certificaten is niet mijn grootste zorg: dat is dat gebruikers op basis van de meeste domeinnamen (indien zij deze niet uit het hoofd kennen) geen idee hebben of deze juist wel of juist niet van de kennelijke organisatie is. Waarbij cybercriminelen steeds beter hun best doen om je ervan te overtuigen dat een valse domeinnaam echt van een gepaalde organisatie is. Gezien de stijgende aantallen slachtoffers slagen zij daar goed in; achteroverleunen is geen optie als we dit tij willen keren.

Dingen die we onder meer zouden kunnen doen:
1) Verstandiger domeinnamen kiezen (bijv. niet werkenbijexample.com maar werkenbij.example.com);
2) Bestaande stomme domeinnamen laten redirecten naar verstandige domeinnamen (zoals hierboven, maar bijv. ook communicatierijk.nl naar communicatierijk.overheid.nl);
3) Daarna gebruikers "opvoeden" op dit punt;
4) Webbrowsers een indicatie van de betrouwbaarheid van de authenticatie laten tonen (bijv. "voldoende voor internetbankieren", medische gegevens, etc);
5) In webbrowsers eenvoudiger en mensvriendelijker toegang tot aanvullende gegevens -in certificaten op te nemen- van een organisatie beschikbaar maken, waaronder vestigingsadres, KVK-nummer, telefoonnummer etc. - natuurlijk gecombineerd met punt 4 om de betrouwbaarheid te zien waarmee de certificaatuitgever deze gegevens heeft gecheckt. Nb. een zich misdragende certificaatuitgever kan dan ook gestraft worden met dit systeem i.p.v. meteen geroyeerd te worden - een maatregel die zelden snel genomen wordt vanwege de grote collateral damage;
6) Een of meer registers van bekende domeinnamen opzetten, gecombineerd met aanvullende identificerende gegevens (zo mogelijk aangevuld met gebruikerservaringen m.b.t betrouwbaarheid van de eigenaar). Vervolgens gebruikers de keuze geven om -gegeven een domeinnaam- simpel en snel op te zoeken (in een register naar keuze) of dit een bekende domeinnaam is of niet (bijv. recentelijk geregistreerd of van eigenaar veranderd, wat de betrouwbaarheid flink hoort te verlagen). In elk geval moet het (nog) niet voorkomen van ern domeinnaam in zo'n register een sterke aanwijzing zijn dat er waarschijnlijk iets niet pluis is - en je er zeker geen gevoelige gegevens op moet invoeren.

Verontrustend dat adviezen die ik begin jaren 90 al opschreef in een artikel voor een regionaal blad nog steeds aandacht behoeven.

Maar bewustzijn is ook niet alles. Iedereen weet dat het gevaarlijk is om berichtjes te lezen en versturen terwijl je rijdt. Maar mensen blijven dat doen,met smoezen dat het nu wel even kan; dat het niet voor hen geldt omdat zij dat wel veilig kunnen doen; omdat anderen het toch ook doen; omdat niemand er toch last van heeft.
Datzelfde gedrag zie je bij phishing. "Ja, ik dacht wel dat die site niet goed was, maar wat moet iemand nu met mijn login gegevens? Ze zijn niet van de bank, of zo."

Peter

Ik twijfel eraan of dat hetzelfde gedrag is. Bij phishing word je om de tuin geleid. Op dat moment besef je niet dat je iets verkeerd doet, in elk geval laat niemand zich opzettelijk phishen. Appen in de auto doe je bewust.


Een deel van een comment van ene Dilbert, waaruit blijkt dat een phishing mailtje tot een fikse ransomware kan leiden (https://arstechnica.com/information-technology/2020/02/a-us-gas-pipeline-operator-was-infected-by-malware-your-questions-answered/?comments=1&post=38660092):

Check de domeinnaam; alles in de nepsite kan identiek zijn aan de echte site! En reken je niet rijk met 2FA; een nepsite kan met jouw user-ID, wachtwoord en 2FA code zich voordoen als jou op de echte site. Alleen nieuwe inlogmethodes als WebAuthn helpen je doordat het protocol de domeinnaam checkt - mits je al eerder op zo'n domein hebt ingelogd. ...