Door Anoniem: @erik, dan ga je er vanuit dat bezoekers dit onderscheid kunnen maken. Maar dat kunnen ze niet. Sterker nog, browsers tonen default het verschil niet meer.
Ik weiger om mijn schouders op te halen en blijf aan de bel trekken totdat de situatie verbetert. We kunnen niet met z'n allen roepen dat gebruikers niet op foute links moeten klikken, zonder ze de handvatten te geven om in te zien
waarom een link fout is en ze er
dus niet op moeten klikken (of waarom deze OK is en klikken veilig is). Natuurlijk zullen er altijd mensen zijn die dan toch nog op links met valse domeinnamen klikken, maar dat aantal mensen kan omlaag. We moeten beter ons best doen aan de serverzijde.
En daarbij moeten we een stap verder denken dan we nu doen. Als een groep mensen een organisatie kent
aan de hand van hun domeinnaam (zoals security.nl, tweakers.net, bol.com, wikipedia.org, ...), zal die groep mensen niet snel gefopt worden met een afwijkende domeinnaam. Vooral als er voor cybercriminelen weinig te halen valt, kunnen dergelijke sites wellicht volstaan met een DV-certificaat. Maar voor sites die we zelden bezoeken, of waar we voor de eerste keer naartoe gestuurd worden, geldt dit niet - een gegeven domeinnaam kan (tenzij duidelijk herkenbaar zoals *.overheid.nl) net zo goed
echt als
vals zijn.
Aangezien de meeste fake sites DV-certificaten gebruiken, helpt ook
het certificaat niet om het onderscheid te kunnen maken (nadat de gebruiker de pagina geopend heeft),
zeker niet als legitieme grotere sites
ook DV-certificaten gebruiken. Het veiligst zou het zijn als DV-certificaten geheel niet zouden bestaan, of als browsers een indicatie van de
betrouwbaarheid van de authenticiteit zouden tonen.
Overigens las ik net dat Let's Encrypt heeft ingezien dat hun DNS-gebaseerde authenticatie toch niet zo betrouwbaar was als velen (ook op deze site) tot nu toe beweerden, zie
https://letsencrypt.org/2020/02/19/multi-perspective-validation.html. Daarbij verwijst Let's Encrypt naar onderzoek uit 2018 (dat ik nog niet kende) waarin wordt aangetoond dat DNS-gebaseerde certificaatuitgifte kan worden misleid middels BGP attacks:
https://www.usenix.org/conference/usenixsecurity18/presentation/birge-lee. Mijn bron:
https://www.heise.de/newsticker/meldung/Let-s-Encrypt-fuehrt-mehrfache-Verifikation-ein-4665827.html.
Maar zelfs meerdere DNS-routes helpen niet als bijv. netwerkapparatuur bij een hostingprovider gehijacked is door cybercriminelen of geheime diensten: als zo'n aanvaller zich toch tussen de bedoelde server en de DNS-checkers van een DV-certificaatprovider weet te wurmen, kan zij namens die server een DV-certificaat aanvragen. En dat in no time. En meteen daarna (desgewenst selectief) inzetten. Zonder iets op de betreffende server zelf te hoeven wijzigen.
Maar nogmaals, de betrouwbaarheid van DV-certificaten is niet mijn grootste zorg: dat is dat gebruikers op basis van de meeste domeinnamen (indien zij deze niet uit het hoofd kennen) geen idee hebben of deze
juist wel of
juist niet van de kennelijke organisatie is. Waarbij cybercriminelen steeds beter hun best doen om je ervan te overtuigen dat een valse domeinnaam
echt van een gepaalde organisatie is. Gezien de stijgende aantallen slachtoffers slagen zij daar goed in; achteroverleunen is geen optie als we dit tij willen keren.
Dingen die we onder meer zouden kunnen doen:
1) Verstandiger domeinnamen kiezen (bijv. niet werkenbijexample.com maar werkenbij.example.com);
2) Bestaande stomme domeinnamen laten redirecten naar verstandige domeinnamen (zoals hierboven, maar bijv. ook communicatierijk.nl naar communicatierijk.overheid.nl);
3) Daarna gebruikers "opvoeden" op dit punt;
4) Webbrowsers een indicatie van de betrouwbaarheid van de authenticatie laten tonen (bijv. "voldoende voor internetbankieren", medische gegevens, etc);
5) In webbrowsers eenvoudiger en mensvriendelijker toegang tot aanvullende gegevens -in certificaten op te nemen- van een organisatie beschikbaar maken, waaronder vestigingsadres, KVK-nummer, telefoonnummer etc. - natuurlijk gecombineerd met punt 4 om de betrouwbaarheid te zien waarmee de certificaatuitgever deze gegevens heeft gecheckt. Nb. een zich misdragende certificaatuitgever kan dan ook gestraft worden met dit systeem i.p.v. meteen geroyeerd te worden - een maatregel die zelden snel genomen wordt vanwege de grote collateral damage;
6) Een of meer registers van bekende domeinnamen opzetten, gecombineerd met aanvullende identificerende gegevens (zo mogelijk aangevuld met gebruikerservaringen m.b.t betrouwbaarheid van de eigenaar). Vervolgens gebruikers de keuze geven om -gegeven een domeinnaam- simpel en snel op te zoeken (in een register naar keuze) of dit een bekende domeinnaam is of niet (bijv. recentelijk geregistreerd of van eigenaar veranderd, wat de betrouwbaarheid flink hoort te verlagen). In elk geval moet het (nog)
niet voorkomen van ern domeinnaam in zo'n register een sterke aanwijzing zijn dat er waarschijnlijk iets niet pluis is - en je er zeker geen gevoelige gegevens op moet invoeren.