Door Anoniem: Mijn vraag: kan er niet ook nog met zo'n certificaat gefraudeerd worden?
Niets is 100% veilig, maar in dit geval is hiermee frauderen ontzettend lastig.
Klinkt-als/lijkt-op domeinnaamHet m.i. meest voor de hand liggende risico-scenario is dat cybercriminelen een server met een lijkt-op/klinkt-als domeinnaam registreren en daar een DV (Domain Validated) certificaat voor aanvragen. Door daarna phishing-mails te sturen, kun je eenvoudig mensen in de val laten trappen.
Omdat het bij een domeinnaam zoals "bijzonderebijstandbuitenland.nl" niet overduidelijk om een domeinnaam van de Nederlandse Rijksoverheid gaat, kunnen cybercriminelen voor lijkt-op/klinkt-als domeinnamen ook meer betrouwbare certificaten aanvragen (fatsoenlijke certificaatuitgevers zullen geen certificaat voor een .nl site uitgeven waarin als organisatie "Ministerie van Buitenlandse Zaken" is opgenomen, en het zou een gigantische blunder zijn als cybercriminelen hier een PKI-overheid certificaat voor zouden kunnen verkrijgen).
Exact dezelfde domeinnaamWellicht kun je de
echte server hacken of een beheerder ervan omkopen om aan gegevens van aanmelders te komen (en die vervolgens, of familie thuis, geld afhandig maken).
Op die manier zou je ook aan de
private key behorende bij het echte certificaat kunnen komen (immers, het certificaat is niet geheim; het bezit van de private key behorende bij een certificaat bewijst dat jij de echte eigenaar bent van dat certificaat. Een certificaat kun je vergelijken met een
kopie van een paspoort, de private key met het paspoort zelf; als je een https sessie met een server start, moet die server -middels een rekenkundige methode-
bewijzen over de private key te beschikken,
zonder die private key zelf ooit prijs te geven).
Als je het certificaat
plus bijbehorende private hebt, zul je nog DNS van internetters moeten manipuleren (of via BGP-hijacks routes veranderen) om internetters op jouw fake server met echte certificaat uit te laten komen. Dit is niet onmogelijk maar niet zo eenvoudig op grote schaal (voor veel verschillende internetters). Maar is denkbaar voor gerichte aanvallen op één of enkele personen.
Als cybercriminelen die DNS en/of BGP-hijack aanvallen kunnen uitvoeren, kunnen zij op die manier wellicht ook certificaatuitgevers ervan overtuigen dat zij de echte eigenaar zijn van bijvoorbeeld "bijzonderebijstandbuitenland.nl".
Met name als cybercriminelen in weten te breken in het systeem waarin het/de DNS record(s) staan van de betreffende webserver, en het IP-adres wijzigen in dat van hun fake-server, is fraude eenvoudig; cybercriminelen kunnen dan probleemloos een nieuw DV-certificaat verkrijgen. Voor betere certificaten horen uitgevers te checken of de aanvrager geautoriseerd is om dat te doen voor een gegeven domeinnaam, maar dat laat nogal eens te wensen over. Een nietszeggende domeinnaam die iedereen aan zou kunnen vragen (zoals "bijzonderebijstandbuitenland.nl") helpt dan voor geen meter. Je kunt alleen maar hopen dat certificaatuitgevers niet zomaar akkoord gaan met de organisatienaam "Ministerie van Buitenlandse zaken" in een https servercertificaat voor een .nl website, en
zeker Quo Vadis zal daar niet snel intrappen (hoop ik).
ConclusieInternetters:1) Vertrouw nooit zomaar op de inhoud van e-mails. De afzender daarin is meestal zeer eenvoudig te vervalsen.
2) Google onbekende domeinnamen voordat je klikt (gebruik zoveel mogelijk kopiëren en plakken om tikfouten te voorkomen, vooral bij lange domeinnamen). Vaak geeft zoeken op internet al zinvolle informatie, en evt. waarschuwingen; evt. kun je de zoektekst aanvullen met een spatie gevolgd door
scam of
fraud). Een andere tip is Googlen naar:
site:bijzonderebijstandbuitenland.nl
Meestal geeft je dat een overzicht van de pagina's en een indruk van hun inhoud op een site (de domeinnaam achter site: is hier natuurlijk een voorbeeld).
3) Na klikken
en elke keer dat de domeinnaam wijzigt (je naar een andere site gestuurd wordt, zoals iDEAL van jouw bank): check de domeinnaam (is dat de domeinnaam die jij kent?) en check het certificaat. Wie is de uitgever, hoe luidt het pad naar het root-certificaat en wie is de uitgever daarvan: vertrouw je deze keten? Wat voor
soort servercertificaat is het: in een DV certificaat
ontbreken gedetailleerde gegevens van de eigenaar van het certificaat, en die zijn juist essentieel als je niet zeker weet of een domeinnaam daadwerkelijk van de kennelijke (bijv. in een e-mail geclaimde) organisatie is. Als die gegevens ontbreken, is de kans groot dat het
niet om een legitieme site van de NL overheid gaat.
4) Als je met redelijke zekerheid hebt vastgesteld dat de site
authentiek is (van de geclaimde eigenaar is) moet je je nog afvragen of je die organisatie vertrouwt, inclusief de partijen waar zij servers en diensten heeft ondergebracht (een certificaat helpt alleen vaststellen of een partij is wie zij zegt dat zij is; het zegt weinig tot niets over de betrouwbaarheid van die partij, noch hoe goed jouw gegevens door die partij worden beschermd en met wie deze worden gedeeld).
Website eigenaren:Verstandige domeinnamen kiezen helpt dus
ook voorkomen dat (naast internetters)
certificaatuitgevers onterecht certificaten uitgeven, vooral als je ook CAA (Certification Authority Authorization) records publiceert (en Let's Encrypt daar goed op checkt). En
hoe korter de sub-top-level domeinnaam is,
.gov.nl bijvoorbeeld, hoe moeilijker het is om daarmee te frauderen - mits je strak reguleert wie daar domeinnamen voor mogen registreren en certificaten voor mogen aanvragen (dus niet zoals de USA dat deed, maar kennelijk probeert te verbeteren: zie
https://www.bleepingcomputer.com/news/security/us-govt-adds-stricter-requirements-for-gov-domain-registration/).
En voor sites met domeinnamen die niet iedereen kent en onthoudt: verlaag je niet tot het gebruiken van DV certificaten, want dan kunnen ook meer security-aware gebruikers met geen mogelijkheid nepsites van echte onderscheiden.