Welke regels gelden er voor het gebruik van self-signed certificaten op de werkvloer?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Onlangs viel mij op mijn werk op dat bij https-verbindingen het certificaat dat wordt aangegeven in het "slotje" uitgegeven is door mijn werkgever zelf - en niet door de website waarmee ik de https-verbinding denk te hebben. Mag dat zomaar?
Antwoord: Er zijn legitieme redenen voor zo'n actie, denk aan het tegengaan van uitgaand malware-verkeer of het onderscheppen van lekkage van datalekken. Maar het raakt ook allerlei legitiem verkeer van de werknemer in kwestie, zoals privemailtjes (een SSL-verbinding met Gmail of een privé Outlook adres), bankzaken of communicatie met een verzekeraar. En dan wordt het juridisch ingewikkeld, want je moet óók rekening houden met de privacy van je werknemer.
Hier moet de werkgever dus een balans in vinden. Een belangrijke voor mij is daarbij hoe geautomatiseerd dit proces gaat. Wordt er door een automatisch proces gecheckt op een serie keywords of fingerprints van de te beschermen data, dan is dat privacytechnisch héél wat minder ernstig dan een steekproefsgewijze controle door een persoon.
Ook zou belangrijk zijn dat de data niet wordt gelogd (tenzij de automatische scan natuurlijk aangeeft dat er iets mis is) en dat inspectie bij afgaande alarmbellen onder strikte geheimhouding gebeurt. Dergelijke waarborgen moeten in een reglement zijn uitgeschreven, zodat je als werknemer weet waar je aan toe bent. Maar als het zorgvuldig wordt uitgewerkt en ingevoerd, dan denk ik dat het wel kan.
De AVG is hierbij de leidraad: de werkgever moet dit onderbouwen als een gerechtvaardigd belang (bijvoorbeeld security), en daarbij maatregelen inbouwen om de privacybelangen van de werknemer af te dekken. Een van die maatregelen is het adequaat informeren van de werknemer, bijvoorbeeld via het personeelshandboek of een bericht op het intranet.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Het is overigens wel een min of meer technische noodzaak om als de browser request uitging met TLS, die ook met TLS terug te sturen.
Het gaat niet werken als je dan plain HTTP antwoord terugstuurt. Het is niet slechts "om de gebruiker het idee te geven" , het is ook om de gebruiker nog een werkende site te geven.
De vraag (en antwoord - door Arnoud) is dan ook al veel vaker langs geweest en inderdaad niks nieuws.
Niet de techniek, niet het gebruik, niet de vraag en niet het antwoord.
https://www.security.nl/posting/516591/Juridische+vraag%3A+Mag+mijn+werkgever+ssl-verkeer+decrypten+en+inspecteren+om+datalekken+te+voorkomen%3F
https://www.security.nl/posting/416510/Juridische+vraag%3A+mag+een+bedrijf+SSL-verkeer+via+zelfgemaakt+certificaat+filteren%3F
Probeer eens een search engine te gebruiken als je iets wilt leren over een bepaald onderwerp.
Tip: je moet admin rechten hebben op het device waarvan je sessies wilt kunnen inspecteren.
Browsers eisen nu eenmaal een 'veilig'/geldig ssl certificaat om niet uitdrukkelijk te roepen dat de 'web'site onveilig is.
Volgens mij, weten de browsers heus wel dat het om een lokale applicatie/site gaat dus de 'onveilig' melding is overbodig.
Daarin zit een verschil.
certificaten uitgegeven door een interne certificate authority is geen issue mits deze alleen intern binnen het bedrijf/lokale netwerk worden gebruikt.
third party certificaten gebruiken voor intern netwerk verkeer kost centen
Er zijn waarschijnlijk ook genoeg opensource producten die dit kunnen.
Enige nadeel van al dit soort oplossingen is, je moet een trusted root certificaat op de machines krijgen, die gebruik maken van deze proxy.
Probeer eens een search engine te gebruiken als je iets wilt leren over een bepaald onderwerp.
Tip: je moet admin rechten hebben op het device waarvan je sessies wilt kunnen inspecteren.
Dat kan icm eenmalig een certificaat importeren. al kan dit ook gewoon in de user store gedaan worden, dus zonder local admin rechten.
Probeer eens een search engine te gebruiken als je iets wilt leren over een bepaald onderwerp.
Tip: je moet admin rechten hebben op het device waarvan je sessies wilt kunnen inspecteren.
Dat kan icm eenmalig een certificaat importeren. al kan dit ook gewoon in de user store gedaan worden, dus zonder local admin rechten.
Ah ok, inderdaad - je moet kunnen installeren in een store die gebruikt wordt; Niet noodzakelijkerwijs "als admin" .
In elk geval moet je dus uberhaupt kunnen inloggen op het device .
Daarin zit een verschil.
certificaten uitgegeven door een interne certificate authority is geen issue mits deze alleen intern binnen het bedrijf/lokale netwerk worden gebruikt.
Gezien als gebruiker (werknemer) die bezorgd is over z'n privacy wanneer een externe TLS sessie onderschept wordt is een interna CA van werkgever BV OOK slecht .
third party certificaten gebruiken voor intern netwerk verkeer kost centen
Nee, LetsEncrypt is gewoon gratis .
Maar het is gewoon NIET MOGELIJK om certificaten te krijgen op interne namen (server.local) of op IP adressen . (laat staan rfc 1918 adressen).
Wil je publieke certificaten hebben op interne machines moet je ze allemaal onderbrengen in extern opvraagbare DNS zones en daar de DV tokens bij zetten .
adcontroller.intern.bedrijf.nl ofzo .
Die inrichting van namespace is wat je niet wilt.
een SSL-verbinding met Gmail of een privé Outlook adres
Hiermee is het de bedoeling dat met name wordt voorkomen dat data gelekt wordt uit een organisatie door mensen welke bijvoorbeeld documenten op een niet officiële wijze delen. Vaak staat er alleen logging aan, en wanneer er data gelekt is wordt er pas in overleg met HR gekeken.
Bij mijn werkgever staat gewoon in voorwaarden dat gebruik van eigen opslag voor data van bedrijf reden is voor ontslag op staande voet. En dit soort tools welke SSL verbindingen ont sleutelen en weer versleutelen helpen daar aan mee. Reden dat daarom ook iedereen een laptop van de zaak heeft met iPhone en zakelijke Onedrive opslag.
Enige nadeel van al dit soort oplossingen is, je moet een trusted root certificaat op de machines krijgen, die gebruik maken van deze proxy.
Het gebruikte root CA importeren in de browser zodat het self signed cert "trusted" is. Wordt veel bij bedrijven gedaan.
Gebruikt een match anything certificaat.
Richt een private CA in en maakt die CA trusted op al je devices.
Ondertekent het match anything certificaat met je eigen CA.
Daarna log je wat je wil per request.
Er zit technisch geen verschil tussen een self-signed certificaat en een publiek certificaat.
(je kan zelf met OpenSSL he-le-maal los gaan als je wil)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer
Ben jij de Information Security Officer met hart voor de zorg? Wil je een bijdrage leveren aan Informatiebeveiliging binnen het Erasmus MC? Word onderdeel van ons team! Samen met de CISO en een team van Information Security Officers zorg je ervoor dat informatiebeveiliging en gegevens-bescherming binnen Erasmus MC de benodigde aandacht krijgt.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.