Doordat DV (Domain Validated) https servercertificaten algemeen geaccepteerd zijn, en webbrowsers geen verschil laten zien met betrouwbaarder certificaten, is DNS een server-authenticatie-SPOF (Single Point Of Failure) geworden.

Zodra het aanvallers lukt om het IP-adres (of adressen) achter verzinhetmaar.nl in DNS naar hun eigen server te laten wijzen, hebben ze in een oogwenk een door elke browser geaccepteerd certificaat op hun server (je moet er niet aan denken dat ze een heel TLD zoals .nl kunnen overnemen).

Deze SPOF leidt er ook toe dat, bijvoorbeeld in minder democratische gebieden, misbruik gemaakt kan worden van DNS: als in zo'n gebied zowel een DV-cerificaatuitgever als eindgebruikers via DNS een aangepast IP-adres ontvangen voor bijvoorbeeld wikipedia.org, kunnen eindgebruikers die https://wikipedia.org/ openen (en een slotje zien) er niet meer van op aan dat het om de echte wikipedia.org gaat.

En als dan het om een site gaat waar je op inlogt, helpt zelfs WebAuthn (FIDO2 hardware key of PassKey) je niet om zo'n frauduleuze site te detecteren (de eigenaar van die fake site kan dan als jou inloggen op de echte site, en desgewenst jouw communicatie met de echte site doorzetten en meelezen, en naar wens wijzigen).

Met de toenemende afhankelijkheid van internet, "quick wins" (cryptovaluta), meer MFA en stijgende wereldwijde spanningen, neemt de kans op aanvallen op DNS toe. Ik hoop dat men beseft dat DNS een SPOF is voor server-authenticatie en men zich serieus gaat afvragen of dat niet moet veranderen (temeer omdat ook BGP-hijacks een risico vormen voor onterechte certificaatuitgifte - iets dat in de praktijk is aangetoond, zie https://arstechnica.com/information-technology/2022/09/how-3-hours-of-inaction-from-amazon-cost-cryptocurrency-holders-235000/).

Tja DNS is al sinds conceptie in 1984 lek als mandje dat was toen ook al bekend tijdens Arpanet uitwerking gesprekken allen was de scope toen ook compleet anders.

DNSSEC en combi van transferlocks kan tot zekere mate helpen maar helaas zijn de protocollen gewoon niet opgewassen tegen de manier dat we er tegenwoordig mee omgaan en misbruik meegemaakt wordt. We zijn enkel maar druk met ducttape oplossingen verzinnen in de vorm van weer een extra protocol wat jaar later gaten bevat of juist als opendeur functioneert voor de volgende ellende.

En omtrent Domain validation TLS, Organization Validation TLS (OV) en Extended Validation EV TLS certificaten zijn net zo nutteloos als het om betrouwbaarheid gaat helaas. Het was wel een leuk verdien model waar menig ISP, hostingprovider aan verdient heeft (incl. wij) maar dat slotje en vroeger de bedrijfsnaam in de url zegt natuurlijk niks zonder dat iemand dieper in de certificaat samenstelling gaat zitten pluizen en ook exact weet wat er naar voren moet komen.

De verificatie was ook altijd bagger. KVK uitreksel en een nummer. Maar tig keer gehad dat een klant vergeten was zijn KVK uitreksel te updaten door de jaren inclusief contact adres waarna je belde naar je CA en doodleuk de verificatie doorgezet werdt met nieuwe gegevens die niet geverifieerd konden worden. En dan spreek ik over de grote namen Comodo/Sectigo, Digicert, Symantec etc alle procedures zo lek als maar kan. Dus DV is helaas net zo veilig.


Maar ik heb helaas geen oplossing hiervoor en tot nu toe niemand niet lijkt het. Het is waarschijnlijk wachten op de vervanger van het algehele internet als die er in ons leven uberhaubt nog komt. Ik denk eerder dat we nog lekker komende 50 jaar doormodderen en collateral damage voor lief wordt genomen tenzij we echt een keer een digitale apocalypse gaan meemaken. Met Mirai paar jaar terug en de befaamde DYN attack in 2016 was die angst er even toen paar root servers eruit vlogen in Amerika maar daar is men ook al wel weer van de schik van bekomen lijkt het want als het om crisis management gaat is er niet veel veranderd.

Ik maak mij vooral zorgen over ongeautoriseerde toegang tot DNS-records of zelfs hele databases.

Voor veilig inloggen roept bijna iedereen "MFA", waarom niet bij server-authenticatie?

Ik pleit niet voor een andere vorm van authenticatie voor server-certificaten, maar voor meerdere. Of andere dan DNS-checks zorgvuldig plaatsvinden, is een kwestie van het naleven van protocollen, daarop auditten en handhaving. Bovendien kun je het aanvallers lastiger maken door een delay in te lassen tussen DNS-check en afgifte van het certificaat (beter: een DNS-check bij aanvraag, delay, dan nog een DNS-check gevolgd door afgifte - mits alles okay is), en ook een money-trail kan helpen.

Zo'n vertraagde afgifte maakt niet alleen de kans van slagen van DNS-aanvallen kleiner, maar ook van BGP-hijacks; hoe langer het duurt voordat een nepserver een geldig certificaat heeft, hoe groter de kans dat bezoekers aan de bel gaan trekken.

Je krijgt authenticatie nooit 100% betrouwbaar, maar authenticatie t.b.v. servercertificaten kan echt beter dan nu het geval is. Als browsers duidelijk zouden maken (op basis van info in het certificaat) dat bijvoorbeeld microsoft-sso[.]net en microsoft-update[.]xyz niet van Microsoft zijn (zie bijv. https://crt.sh/?q=microsoft-update.xyz), dan zouden Authenticator-apps en zelfs 2FA met SMS meer zin hebben.

Certificaten waren oorspronkelijk bedoeld om de identiteit van de server zeker te stellen. In het begin was het ook helemaal
niet zo gemakkelijk om een certificaat te krijgen. Je moest door allerlei hoepels springen waar wellicht door een echt
kwaadwillende wel uit te komen was, maar je kon zeker niet "even" een certificaat voor een server krijgen.

Toen werd dat allemaal makkelijker gemaakt want het moest toegankelijker worden. DV werd bedacht, de oorspronkelijke validatie ging toen ineens EV heten, zodat men weer meer kon vragen aan de mensen die wilden hebben wat eigenlijk gewoon standaard had moeten zijn.

Tenslotte heeft Letsencrypt en het "alle sites moeten https zijn" het helemaal kapot gemaakt. De focus was alleen nog maar
op "de verbinding moet encrypted zijn", het aspect "de identiteit van de server moet onomstotelijk zijn" is helemaal vergeten,
ondanks dat dit heel belangrijk is (al was het maar om man-in-the-middle te voorkomen). Nu zijn we weer bij af en moet
alles opnieuw ontworpen worden, en moeten we weer hopen dat niet iemand het kapot maakt.

Dat ben ik niet met je eens. Indien bezoekers van organisatie X de exacte domeinnaam van de website van X kennen, geeft een DV-certificaat over het algemeen [*] redelijke zekerheid dat jouw browser daadwerkelijk verbinding heeft met een server van organisatie X.

[*] Hoe meer er voor aanvallers "te halen valt", hoe groter het risico voor bezoekers is dat zij, bij een correcte domeinnaam, op een nepsite met kennelijk geldig certificaat uitkomen. Dit soort aanvallen zijn niet eenvoudig uit te voeren, maar zoals ik in mijn bovenstaande bijdragen schreef, verwacht ik een toename hiervan.

De grootste tekortkoming van DV-certificaten is dat de verantwoordelijkheid om vast te stellen of een website met een gegeven domeinnaam wel of niet van organisatie X is, volledig bij bezoekers wordt gelegd - onder meer omdat X daar zelf geen moeite voor wil doen en/of geen geld aan uit wil geven. Dit ondanks dat aanvallen met nepwebsites aan de orde van de dag zijn, en niet alleen analfabete bejaarden hier intrappen. Mede omdat veel organisaties lukraak domeinnamen kiezen, moet je als surfer over forensiche vaardigheden beschikken om nep van echt te kunnen onderscheiden.

Een m.i. goed voorbeeld is circle-ci.com van afgelopen september (zie https://security.nl/posting/768888) waarbij een aanzienlijk aantal softwareontwikkelaars slachtoffer werd van een phishingaanval. Niemand neemt de verantwoording om bezoekers te helpen vaststellen dat de domeinnaam circle-ci.com niet van dezelfde organisatie is als met de domeinnaam circleci.com:
- Steeds meer website-eigenaren niet
- Browsermakers niet
- DNS-providers niet
- E-mail-providers niet
- SPF, DKIM en DMARC niet
- Zoekmachines niet
- Hosting-providers niet
- Certificaatverstrekkers niet
- Overheden niet

M.b.t. die laatste partij: we hebben (neem ik aan) niet voor niets een Kamer van Koophandel. Met de massale verschuiving van fysiek naar online verwacht ik dat overheden (gezien de duidelijk falende zelfregulering) maatregelen afdwingen om de online wereld minstens net zo veilig te maken - maar dat gebeurt niet.

En daarbij het gaat niet alleen om zakelijke websites. Als https://ggdghor.nl/ identiek lijkt aan https://ggd-ghor.nl/, en beide een Let's Encrypt certificaat hebben, wat is dan de echte GGD-GHOR website?

Bovenaan https://cisa.gov/ staat:
Dat laatste is natuurlijk onzin (https zegt iets over de verbinding, maar niets over de website). Bizar dat notabene de CISA dit soort idiote mythes in stand houdt.

Mijn punt is: van wie is een website als de domeinnaam niet eindigt op .gov maar bijvoorbeeld op .com of .nl?

YOU DON'T KNOW

Ach, als de overheid zelf het niet de moeite waard vind hun 'eigen herkenbare CA root' te continieren (onder het mom van niet onze corebussiness, teveel gedoe, stel dat we iets fout doen) en het gebruik daarvan ook niet voor (semi) overheidsinstelingen verplicht te stellen, wat moet je dan nog verwachten?