Door SecOff: Mijn analyse is dat jij zou graag zou zien dat er meer controle is voor wie een website in de lucht wil brengen.
Die analyse is onjuist.
Van WIE is die website, ongeacht de domeinnaam?Vóórdat ik gegevens uitwissel met een website (informatie lees, bestanden download, persoonsgegevens invoer, etc.), wil ik op betrouwbare wijze kunnen zien van
wie die website is, zodat ik die eigenaar aansprakelijk kan stellen als deze mij belazert. Als ik dat niet kan zien, kan ik daaruit afleiden dat ik een groot risico neem, en dat het wellicht om een nepsite gaat (en ik verder moet zoeken naar de echte site).
In "
real life" weet ik (hopelijk iedereen) dat een kofferbakverkoop meestal geen frisse boel is, en dat de kans dat je kunt ruilen of garantie hebt, nul is. Probleem:
op internet zie ik het verschil tussen een kofferbakverkoop en bijvoorbeeld de HEMA niet.
Eén afwijkende letter (die afwijking kan niet of nauwelijks zichtbaar zijn zoals 'l' versus 'I'), of een domeinnaam die heel goed van de bedoelde organisatie zou kunnen zijn, en je bevindt je (bij wijze van spreken) in een achterbuurt van Bogotá i.p.v. bij een vertrouwde organisatie verderop (de kofferbakverkoop versus een HEMA-filiaal).
DV-certs indirecte oorzaakOp zich zouden DV-certificaten geen probleem moeten zijn, ware het niet dat zij (plus de browsermakers) alle andere soorten certificaten zinloos hebben gemaakt; internetters zien geen verschil meer.
Ik claim absoluut niet dat EV-certificaten "
dé oplossing" zijn en ook niet dat iedereen vanzelf zal snappen waar zij op moeten letten. Dat laatste argument ("we zetten de ingrediënten maar niet meer op de verpakking, want bijna niemand leest ze, en als ze het lezen weten de meesten niet wat E-nummers zijn) vind ik echter een stompzinnige dooddoener. Het is
in jouw eigen belang om die informatie
wel te lezen, te begrijpen wat er staat en hoe te handelen als gegevens ontbreken of niet lijken te kloppen.
Verbeterde EV-certs? en user interfaceM.b.t. EV-achtige-certificaten (bijv. met betrouwbaarheidsaanduiding): ik wil eenduidig authenticerende gegevens van de verantwoordelijke eigenaar van een website zichtbaar kunnen maken, en weten hoe betrouwbaar de TTP die eigenaar geauthenticeerd heeft. Uniek authenticerende informatie hoeft echt niet allemaal in de adresbalk van browsers te passen (daar is vaak simpelweg te weinig ruimte voor) maar er moeten ook geen 10 klikken voor nodig zijn. En het moet zeker niet te technisch zijn (leken hebben niets aan de hexadecimale representatie van een public key).
Als een webshop mij iets wil verkopen of een website claimt van de overheid te zijn, zal
die eigenaar moeten
bewijzen wie daar achter zit. Ik ken geen andere manier dan via een TTP (Trusted Third Party) die de identiteit van die eigenaar op
betrouwbare wijze verifieert. Voor zakelijke contacten hebben we daar de KvK voor, maar die verzaakt (onbegrijpelijkerwijs) compleet als het om authenticatie op internet gaat.
Digitaal paspoort in smartphone, IRMAZoals ik elders al eerder schreef, van ons internetters wordt verwacht dat wij steeds vaker en steeds meer persoonsgegevens aan websites toevertrouwen, waaronder binnenkort (?) afkomstig van op onze smartphones gedigitaliseerde identiteitsbewijzen, al dan niet beperkt door IRMA: zie [1] (plus-artikel) of [2] (openbaar); zie ook mijn posts daaronder.
Aanvulling 15:18: link [1] lijkt ondertussen openbaar te zijn gemaakt door Tweakers. Daarin discussieer ik met Ivo Jansch (een van de betrokkenen bij de wallet-ID).
[1]
https://tweakers.net/nieuws/204138/nederland-krijgt-een-paspoort-voor-op-internet-hoe-gaat-dat-werken.html?showReaction=18249704#r_18249704[2]
https://tweakers.net/nieuws/204604/irma-maker-sidn-neemt-deel-aan-eu-pilot-voor-digitale-identiteitswallet.html?showReaction=18254976#r_18254976Waarom moeten wij wel authenticeren, en de verifieerder niet?Steeds meer persoonsgerichte informatie bedoeld voor ons is uitsluitend via internet beschikbaar - waarbij
wij geacht worden ons te authenticeren, maar de verifiërende partij niet. E.e.a. als gevolg van het afschalen van papieren post en het sluiten van kantoren. En door winkelsluitingen worden mensen, ook zij die dat niet willen, vaker gedwongen om producten (of licenties, aanvragen voor toeslagen, uitkeringen, coronatests/vaccinaties, internetbankieren, etc. etc.) via internet aan te schaffen of te regelen.
Waarom bestaan er verschillende betrouwbaarheidsniveaus voor de authenticatie van ons (burgers), maar lijkt het niemand te boeien dat dit
niet geldt voor verifieerders? Weten
wie en waarom jouw identiteit wil vernemen en verifiëren is
minstens zo belangrijk om fraude met, of lekken van, jouw persoonsgegevens te voorkomen.
ConclusieZonder verstandige, rigide en wellicht ingrijpende maatregelen, gaat cybercrime alleen maar verder toenemen. En waar veel "verdiensten" naartoe gaan, vind ik ook uiterst ongewenst; de meeste, zo niet alle, van de in de bovenste post genoemde domeinnamen van fake sites resolven in 185.149.120.9 - AS57724 van "Ddos-guard Ltd", Russia, Rostov-on-Don.
Kortom, van mij mag jij voor "nas.secoff.duckdns.org" o.i.d. een gratis Let's Encrypt certificaat kunnen verkrijgen. Maar als jij mij zou vragen om
https://nas.secoff.duckdns.org/ te bezoeken, wil ik in mijn browser in
één oogopslag
niet alleen kunnen zien dat mijn browser met redelijke zekerheid verbinding heeft met "nas.secoff.duckdns.org", maar
óók dat er totaal geen betrouwbare informatie beschikbaar is van
wie die site
écht is. Kofferbakverkoop dus.
Omgekeerd, als bijvoorbeeld een overheidsorganisatie weer eens een nieuwe website lanceert, wil ik met redelijke zekerheid kunnen vaststellen van welke overheid die site is (van wie zijn ggdghor.nl en covidvaccinatie.nl, en hoe zie ik dat?) - om verwarring met imitatiesites zoveel mogelijk -en bij voorbaat- te voorkomen.