Privacy - Wat niemand over je mag weten

SNS-bank probleem met OCSP stapling

01-05-2022, 13:56 door Anoniem, 17 reacties
De floeperds bij SNS-bank hebben stap voor stap hun internetbankieren vernieuwd. (zal ook wel gelden voor ASN-bank?)
https://www.security.nl/posting/691682/Nogmaals%3A+trackers+bij+banken vertelt er ook iets over.
Ik begrijp alleen niet zo goed waar die nieuwe interface voor nodig was, want ik was al tevreden met zoals het was.

Voor internetbankieren gebruik ik veiligheidshalve altijd een IP-filter, en dat moest dus worden aangepast.
Voorheen was het voldoende om alleen verkeer naar de server van SNS-bank door te laten.
Later kwam daar OCSP-verkeer bij, maar op zeker moment ontdekte ik dat de server van SNSbank OCSP-stapling ondersteunde. "OCSP stapling" zorgt voor betere privacy dan OCSP via een "outsourced" OCSP-server,
omdat OCSP.stapling via de bankserver loopt, en daar wilde je toch al mee communiceren.
In het andere geval laat je een externe OCSP-server (die in handen van een derde partij is) weten, dat jij op dat moment bezig bent om naar de server van SNSbank te gaan. Misschien geen big deal dat een andere partij kan weten wanneer jij inlogt bij je bank, maar toch: wat heeft die andere partij daar eigenlijk mee te maken?
Bovendien ligt zo'n OCSP-server er wel eens even uit. En dan hang je, of er is geen OCSP-controle.
En dan ben je eigenlijk onveilig bezig, of het lukt niet om in te loggen bij je bank!

Dus OCSP-stapling heeft wat mij betreft de voorkeur.
Met een beetje kennis kan je in je browser meestal keurig instellen om alleen nog gebruik te maken van OCSP-stapling. Dus ik had dit een paar jaar geleden voor mijn internetbankier-omgeving gedaan.
Maar wat hebben ze nu gedaan, die floeperds:
ze hebben onlangs OCSP STAPLING OP HUN EIGEN BANKSERVER UITGEZET.
Hoe halen ze het in hun hoofd! Dat is toch een stap terug in privacy en security?

Bovendien zoek je je suf waarom inloggen opeens niet meer lukt, want de enige melding die wordt gegeven,
is dat er "een probleem was bij het inloggen" o.i.d..
Als klanten echter niet kunnen internetbankieren, kan dit echter leiden tot te laat zijn met betalen, boetes e.d.

Misschien dat er meer security/privacy -bewuste SNS/ASN-klanten tegenaan lopen,
dus ik meld het hier maar even.
Reacties (17)
01-05-2022, 16:36 door Anoniem
Door Anoniem: De floeperds bij SNS-bank hebben stap voor stap hun internetbankieren vernieuwd. (zal ook wel gelden voor ASN-bank?)
https://www.security.nl/posting/691682/Nogmaals%3A+trackers+bij+banken vertelt er ook iets over.
Ik begrijp alleen niet zo goed waar die nieuwe interface voor nodig was, want ik was al tevreden met zoals het was.

Voor internetbankieren gebruik ik veiligheidshalve altijd een IP-filter, en dat moest dus worden aangepast.
Voorheen was het voldoende om alleen verkeer naar de server van SNS-bank door te laten.
Later kwam daar OCSP-verkeer bij, maar op zeker moment ontdekte ik dat de server van SNSbank OCSP-stapling ondersteunde. "OCSP stapling" zorgt voor betere privacy dan OCSP via een "outsourced" OCSP-server,
omdat OCSP.stapling via de bankserver loopt, en daar wilde je toch al mee communiceren.
In het andere geval laat je een externe OCSP-server (die in handen van een derde partij is) weten, dat jij op dat moment bezig bent om naar de server van SNSbank te gaan. Misschien geen big deal dat een andere partij kan weten wanneer jij inlogt bij je bank, maar toch: wat heeft die andere partij daar eigenlijk mee te maken?
Bovendien ligt zo'n OCSP-server er wel eens even uit. En dan hang je, of er is geen OCSP-controle.
En dan ben je eigenlijk onveilig bezig, of het lukt niet om in te loggen bij je bank!

Dus OCSP-stapling heeft wat mij betreft de voorkeur.
Met een beetje kennis kan je in je browser meestal keurig instellen om alleen nog gebruik te maken van OCSP-stapling. Dus ik had dit een paar jaar geleden voor mijn internetbankier-omgeving gedaan.
Maar wat hebben ze nu gedaan, die floeperds:
ze hebben onlangs OCSP STAPLING OP HUN EIGEN BANKSERVER UITGEZET.
Hoe halen ze het in hun hoofd! Dat is toch een stap terug in privacy en security?

Bovendien zoek je je suf waarom inloggen opeens niet meer lukt, want de enige melding die wordt gegeven,
is dat er "een probleem was bij het inloggen" o.i.d..
Als klanten echter niet kunnen internetbankieren, kan dit echter leiden tot te laat zijn met betalen, boetes e.d.

Misschien dat er meer security/privacy -bewuste SNS/ASN-klanten tegenaan lopen,
dus ik meld het hier maar even.
Je zou ook minder gaan klooien met je beveiliging .
01-05-2022, 19:04 door Anoniem
Met een beetje kennis kan je in je browser meestal keurig instellen om alleen nog gebruik te maken van OCSP-stapling. Dus ik had dit een paar jaar geleden voor mijn internetbankier-omgeving gedaan.

Interssant, hoe heb je dit ingesteld?
02-05-2022, 08:15 door Anoniem
Door Anoniem: Als klanten echter niet kunnen internetbankieren, kan dit echter leiden tot te laat zijn met betalen, boetes e.d.

Dank voor het melden, maar die angstscenario's kunnen achterwege blijven. Het komt over als "mensen zetten hun machine potdicht en tweaken 1001 dingen, kunnen dan op een gegeven moment dingen niet meer doen doordat het bedrijf in kwestie geen rekening kan houden met alle 2 miljoen klanten, en daardoor lopen die mensen kans op een boete en achterstanden!". Dat is het "risico" van die optimale beveiliging, die 9 van de 10 keer nauwelijks tot geen meerwaarde heeft.
02-05-2022, 09:22 door Anoniem
Door Anoniem:Het komt over als "mensen zetten hun machine potdicht en tweaken 1001 dingen, kunnen dan op een gegeven moment dingen niet meer doen doordat het bedrijf in kwestie geen rekening kan houden met alle 2 miljoen klanten, en daardoor lopen die mensen kans op een boete en achterstanden!". Dat is het "risico" van die optimale beveiliging, die 9 van de 10 keer nauwelijks tot geen meerwaarde heeft.

Inderdaad, we zien dat wel vaker hier, mensen tweaken hun computer helemaal kapot en dan werkt het op een gegeven
moment niet meer (meteen al of anders nadat er extern iets veranderd is) en dan heeft de rest van de wereld het ineens
gedaan...
Als je aan de gang gaat met allerlei filters, no-script, etc dan ben je daar zelf bij en mag je zelf in actie komen als het
kapot is.

Het enige wat je mag stellen is dat ze moeten kunnen omgaan met "OCSP verplicht". Maar an moet je niet de OCSP
server gaan blocken en dan miepen dat het niet meer werkt. Of dat de OCSP server tijdelijk down is en je niet bij
hun webpagina kunt.
02-05-2022, 10:28 door Anoniem
Door Anoniem: .
Als klanten echter niet kunnen internetbankieren, kan dit echter leiden tot te laat zijn met betalen, boetes e.d.

Jij gaat dus zitten knoeien met allemaal geavanceerde instellingen en je bent daarna verbaast als er iets niet meer werkt.

Misschien dat er meer security/privacy -bewuste SNS/ASN-klanten tegenaan lopen,
dus ik meld het hier maar even.
Ik denk dat de meeste dit niet aanpassen, omdat zoals je zelf ook ervaren hebt, het is nog al fout gevoelig.
02-05-2022, 10:44 door Anoniem
Door Anoniem:
Door Anoniem:Het komt over als "mensen zetten hun machine potdicht en tweaken 1001 dingen, kunnen dan op een gegeven moment dingen niet meer doen doordat het bedrijf in kwestie geen rekening kan houden met alle 2 miljoen klanten, en daardoor lopen die mensen kans op een boete en achterstanden!". Dat is het "risico" van die optimale beveiliging, die 9 van de 10 keer nauwelijks tot geen meerwaarde heeft.

Inderdaad, we zien dat wel vaker hier, mensen tweaken hun computer helemaal kapot en dan werkt het op een gegeven
moment niet meer (meteen al of anders nadat er extern iets veranderd is) en dan heeft de rest van de wereld het ineens
gedaan...

Ook de plaag van ISPs, eindgebruikers met een firewall - die je dan gaan lopen beschuldigen dat je router hun hacked als die firewall toetert dat er een echo reply of ttl expired icmp is teruggekomen van hun ping/traceroute .


Als je aan de gang gaat met allerlei filters, no-script, etc dan ben je daar zelf bij en mag je zelf in actie komen als het
kapot is.

100% eens.
02-05-2022, 13:25 door Erik van Straten - Bijgewerkt: 02-05-2022, 13:27
Door Anoniem:
Door Anoniem: Als klanten echter niet kunnen internetbankieren, kan dit echter leiden tot te laat zijn met betalen, boetes e.d.

Dank voor het melden, maar die angstscenario's kunnen achterwege blijven.
Daarmee heb je m.i. een punt.

Door Anoniem: Het komt over als "mensen zetten hun machine potdicht en tweaken 1001 dingen, kunnen dan op een gegeven moment dingen niet meer doen doordat het bedrijf in kwestie geen rekening kan houden met alle 2 miljoen klanten [...]. Dat is het "risico" van die optimale beveiliging, die 9 van de 10 keer nauwelijks tot geen meerwaarde heeft.
Alles maar standaard laten dan? En met z'n allen de TS bashen?

Als SNS is gestopt met OCSP stapling, heeft de TS gelijk dat dit een achteruitgang is: de bank verschuift zo het probleem van een niet bereikbare OCSP-server (van de certificaat-uitgever) naar de klant. Waarbij "niet bereikbaar" ook kwade opzet van een derde kan zijn.

Naast dat deze stap terug als een privacy-issue kan worden beschouwd, is het ook een security-issue. OCSP is er namelijk niet alleen om je te waarschuwen dat een servercertificaat (hier van de bank) voortijdig is ingetrokken, bijv. omdat een kopie van de bijpassende private key in verkeerde handen is gevallen (wat voor een bank wel héél stom zou zijn), maar ook voor de situatie dat een certificaat-provider onterecht een certificaat uitgeeft en dat intrekt (na op de fout te zijn gewezen).

TLS v1.3 ondersteunen zonder OCSP stapling lijkt ook nogal suf, want in het plain text OCSP-verzoek komt het serienummer van het servercertificaat voorbij.

M.i. interessant leesvoer met veel achtergronden: https://blog.cloudflare.com/high-reliability-ocsp-stapling/

P.S. In Firefox (about:config) staat "security.ssl.enable_ocsp_must_staple" standaard op true. Als ik het goed begrijp zorgt dat voor een foutmelding als het servercertificaat de "must-staple" extensie (met OID "1.3.6.1.5.5.7.1.24") bevat, terwijl er geen OCSP-stapling plaatsvindt. Het huidige sns.nl certificaat (dat mijn browser ontving) bevat die extensie niet.
02-05-2022, 14:12 door Anoniem
De 'klantenservice' van SNS heeft het maar druk vandaag...
Weinig veranderd daar het is nog altijd standaard de schuld van de klant, wel zo makkelijk.
03-05-2022, 00:11 door Anoniem
Door Anoniem:
Met een beetje kennis kan je in je browser meestal keurig instellen om alleen nog gebruik te maken van OCSP-stapling. Dus ik had dit een paar jaar geleden voor mijn internetbankier-omgeving gedaan.

Interssant, hoe heb je dit ingesteld?

security.OCSP.enabled = 0 [OCSP disabled] zorgt ervoor dat de OCSP-server niet meer wordt benaderd.
security.ssl.enable_ocsp_stapling = true zorgt er dan voor dat OCSP alleen bij de reeds bezochte webserver wordt gecheckt, waarbij ocsp-stapling op de bezochte webserver uiteraard wel moet zijn aangezet.
Maar als dit na jaren opeens stiekem op de server wordt uitgezet, kan ik wel eens hard van stapel lopen.

Dat neemt niet weg dat ocsp stapling volgens mij de voorkeur verdient.
En bij een bankserver lijkt het me zelfs passend dat ook de "must staple" optie op de server actief is.
Dat wil zeggen: OCSP MOET beslist via stapling plaatsvinden (i.v.m. security en privacy)
en OCSP moet dus gebeuren via de server van de bank, en nergens anders.

(overigens is in de browser "security.ssl.enable_ocsp_must_staple" default al op "true" ingesteld,
zodat de browser zal luisteren naar een "must-staple" instructie van een bezochte server.
03-05-2022, 10:29 door Anoniem
Door Erik van Straten:
Alles maar standaard laten dan? En met z'n allen de TS bashen?

Als SNS is gestopt met OCSP stapling, heeft de TS gelijk dat dit een achteruitgang is: de bank verschuift zo het probleem van een niet bereikbare OCSP-server (van de certificaat-uitgever) naar de klant. Waarbij "niet bereikbaar" ook kwade opzet van een derde kan zijn.
Wat je wellicht gemist hebt is dat de TS zichzelf in deze situatie gemanouvreerd heeft door alleen connecties naar
een beperkte lijst IP adressen toe te laten, waar de OCSP server buiten viel.
Dat is een oplossing die notoir onbetrouwbaar is omdat je van "een website" niet kunt weten welke adressen die allemaal
gebruikt door alleen naar de start-URL te kijken. En als je met veel moeite bij elkaar hebt geschraapt welke adressen
bereikbaar moeten zijn kan er daar 5 seconden later een bijkomen.
Tuurlijk is dat een beetje zorgwekkend mbt de veiligheid, maar het is hoe het web werkt (al vanaf de eerste site van
Tim Berners-Lee!) en dat is iets waar je min of meer mee moet leven.

Wat die OCSP stapling betreft, ik heb zelf wel eens gedacht "oh dat wil ik op mijn eigen site ook wel hebben, even
kijken hoe je dat in Apache aanzet" en liep tegen allerlei beren op de weg aan. Uiteindelijk maar niet gedaan.
Ik kan me best voorstellen dat SNS ook een beer is tegengekomen en besloten heeft er maar mee te stoppen.

Als dat geen gewenste situatie is dan is er werk aan de winkel voor de webserver programmeurs. Als je wilt dat dit
gebruikt wordt en gebruikt blijft worden, maak het dan simpel te configureren.
03-05-2022, 12:48 door Anoniem
Door Anoniem:
Wat die OCSP stapling betreft, ik heb zelf wel eens gedacht "oh dat wil ik op mijn eigen site ook wel hebben, even
kijken hoe je dat in Apache aanzet" en liep tegen allerlei beren op de weg aan. Uiteindelijk maar niet gedaan.
Ik kan me best voorstellen dat SNS ook een beer is tegengekomen en besloten heeft er maar mee te stoppen.

Als dat geen gewenste situatie is dan is er werk aan de winkel voor de webserver programmeurs. Als je wilt dat dit
gebruikt wordt en gebruikt blijft worden, maak het dan simpel te configureren.
mod_md werkt automagisch en is (waarschijnlijk) ingebouwd in apache 2.4.53 (i.i.g. op FreeBSD).
Is bij mij verantwoordelijk voor iets van 40 certificaten en draait vlekkeloos.

https://github.com/icing/mod_md
https://httpd.apache.org/docs/2.4/mod/mod_md.html
03-05-2022, 13:08 door Erik van Straten
Door Anoniem:
Door Erik van Straten:
Alles maar standaard laten dan? En met z'n allen de TS bashen?

Als SNS is gestopt met OCSP stapling, heeft de TS gelijk dat dit een achteruitgang is: de bank verschuift zo het probleem van een niet bereikbare OCSP-server (van de certificaat-uitgever) naar de klant. Waarbij "niet bereikbaar" ook kwade opzet van een derde kan zijn.
Wat je wellicht gemist hebt is dat de TS zichzelf in deze situatie gemanouvreerd heeft door alleen connecties naar
een beperkte lijst IP adressen toe te laten, waar de OCSP server buiten viel.
Dat is een oplossing die notoir onbetrouwbaar is [...]

M.i. lopen hier twee discussies door elkaar:
1) SNS zou gestopt zijn met OCSP-stapling (ik heb zelf niet kunnen vaststellen of SNS dit eerder (correct) deed);
2) Is de manier waarop TS zijn internetbankieromgeving beveiligt wel of niet verstandig.

1) Als dit zo is, is dat m.i. een slechte zaak;

2) Ik reageeerde op het volgende:
Door Anoniem: Het komt over als "mensen zetten hun machine potdicht en tweaken 1001 dingen, kunnen dan op een gegeven moment dingen niet meer doen doordat het bedrijf in kwestie geen rekening kan houden met alle 2 miljoen klanten [...]. Dat is het "risico" van die optimale beveiliging, die 9 van de 10 keer nauwelijks tot geen meerwaarde heeft.
Beveiligen doe je vanwege die 1 van de 10 (of veel meer) keren dat het wél meerwaarde heeft. En informatiebeveiliging komt bijna altijd met een prijs.

Je kunt eindeloos discussiëren over welke beveiligingsoplossing de beste is, maar meestal is de conclusie "dat hangt ervan af" en bovendien veranderen omstandigheden (inclusief bedreigingen) voortdurend. De kunst is het om zodanig te beveiligen dat je het merkt als iets niet goed meer werkt, kunt vaststellen wat daar de oorzaak van is en weet hoe je het probleem kunt oplossen. Volgens mij doet de TS niks verkeerd.
03-05-2022, 13:24 door Anoniem
Door Anoniem:
Door Erik van Straten:
Alles maar standaard laten dan? En met z'n allen de TS bashen?

Als SNS is gestopt met OCSP stapling, heeft de TS gelijk dat dit een achteruitgang is: de bank verschuift zo het probleem van een niet bereikbare OCSP-server (van de certificaat-uitgever) naar de klant. Waarbij "niet bereikbaar" ook kwade opzet van een derde kan zijn.
Wat je wellicht gemist hebt is dat de TS zichzelf in deze situatie gemanouvreerd heeft door alleen connecties naar
een beperkte lijst IP adressen toe te laten, waar de OCSP server buiten viel.
Dat is een oplossing die notoir onbetrouwbaar is omdat je van "een website" niet kunt weten welke adressen die allemaal
gebruikt door alleen naar de start-URL te kijken. En als je met veel moeite bij elkaar hebt geschraapt welke adressen
bereikbaar moeten zijn kan er daar 5 seconden later een bijkomen.
Tuurlijk is dat een beetje zorgwekkend mbt de veiligheid, maar het is hoe het web werkt (al vanaf de eerste site van
Tim Berners-Lee!) en dat is iets waar je min of meer mee moet leven.

Wat die OCSP stapling betreft, ik heb zelf wel eens gedacht "oh dat wil ik op mijn eigen site ook wel hebben, even
kijken hoe je dat in Apache aanzet" en liep tegen allerlei beren op de weg aan. Uiteindelijk maar niet gedaan.
Ik kan me best voorstellen dat SNS ook een beer is tegengekomen en besloten heeft er maar mee te stoppen.

Als dat geen gewenste situatie is dan is er werk aan de winkel voor de webserver programmeurs. Als je wilt dat dit
gebruikt wordt en gebruikt blijft worden, maak het dan simpel te configureren.

Kan het misschien zo zijn dat omdat het jou niet lukt, je vind of denkt dat niemand het kan? Dat idee krijg ik met jouw reacties (ze zijn herkenbaar).

Zelfs op een server achter een firewall waar niet alle uitgaande verkeer openstaat, is ocsp in te stellen. Dat vergt wel een voorspelbare name server resolutie. Het is wel zo dat het te handhaven is omdat er bij ocsp server side een periode is dat problemen tijdig kunnen worden gesignaleerd. Dit is op hoog niveau te beveiligen zodat data exfiltratie kan worden voorkomen.
03-05-2022, 21:59 door Anoniem
Wat je wellicht gemist hebt is dat de TS zichzelf in deze situatie gemanouvreerd heeft door alleen connecties naar
een beperkte lijst IP adressen toe te laten, waar de OCSP server buiten viel.
Dat is een oplossing die notoir onbetrouwbaar is omdat je van "een website" niet kunt weten welke adressen die allemaal
gebruikt door alleen naar de start-URL te kijken. En als je met veel moeite bij elkaar hebt geschraapt welke adressen
bereikbaar moeten zijn kan er daar 5 seconden later een bijkomen.
Zolang het werkt, werkt het, en als het niet werkt, merk je dat, en weet je dat je moet kijken wat er is veranderd.
Dat neem je tot op zekere hoogte voor lief als je er aan begint. En je monitort het netwerkverkeer.
Maar dat OCSP stapling op de bankserver weer was uitgezet verwacht je gewoon niet. Het is een stap terug.
Alsof de roltrap weer uit het warenhuis is gesloopt, en er een simpele trap is ingezet die een ieder weer moet beklimmen.
03-05-2022, 22:54 door Anoniem
Door Anoniem:
Wat je wellicht gemist hebt is dat de TS zichzelf in deze situatie gemanouvreerd heeft door alleen connecties naar
een beperkte lijst IP adressen toe te laten, waar de OCSP server buiten viel.
Dat is een oplossing die notoir onbetrouwbaar is omdat je van "een website" niet kunt weten welke adressen die allemaal
gebruikt door alleen naar de start-URL te kijken. En als je met veel moeite bij elkaar hebt geschraapt welke adressen
bereikbaar moeten zijn kan er daar 5 seconden later een bijkomen.
Zolang het werkt, werkt het, en als het niet werkt, merk je dat, en weet je dat je moet kijken wat er is veranderd.
Dat neem je tot op zekere hoogte voor lief als je er aan begint. En je monitort het netwerkverkeer.
Maar dat OCSP stapling op de bankserver weer was uitgezet verwacht je gewoon niet. Het is een stap terug.
Alsof de roltrap weer uit het warenhuis is gesloopt, en er een simpele trap is ingezet die een ieder weer moet beklimmen.
Heb je al eens bij de bank gevraagd waarom ze dat gedaan hebben? Misschien wel een heel valide reden. Maar ja. Hier klagen past beter bij dit forum.
05-05-2022, 14:10 door Anoniem
Door Anoniem:
Door Anoniem:
Wat je wellicht gemist hebt is dat de TS zichzelf in deze situatie gemanouvreerd heeft door alleen connecties naar
een beperkte lijst IP adressen toe te laten, waar de OCSP server buiten viel.
Dat is een oplossing die notoir onbetrouwbaar is omdat je van "een website" niet kunt weten welke adressen die allemaal
gebruikt door alleen naar de start-URL te kijken. En als je met veel moeite bij elkaar hebt geschraapt welke adressen
bereikbaar moeten zijn kan er daar 5 seconden later een bijkomen.
Zolang het werkt, werkt het, en als het niet werkt, merk je dat, en weet je dat je moet kijken wat er is veranderd.
Dat neem je tot op zekere hoogte voor lief als je er aan begint. En je monitort het netwerkverkeer.
Maar dat OCSP stapling op de bankserver weer was uitgezet verwacht je gewoon niet. Het is een stap terug.
Alsof de roltrap weer uit het warenhuis is gesloopt, en er een simpele trap is ingezet die een ieder weer moet beklimmen.
Heb je al eens bij de bank gevraagd waarom ze dat gedaan hebben? Misschien wel een heel valide reden. Maar ja. Hier klagen past beter bij dit forum.
Ik reageerde gewoon op de erboven gequote post.
16-05-2022, 15:56 door Anoniem
Het lijkt erop dat OCSP stapling weer is hersteld. Thumbs up!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.