‘Websites van banken en overheid onvoldoende beveiligd’

Ook hier is er voor de `hack` weer eens gebruik gemaakt van Comodo certificaten:

http://www.networking4all.com/nl/helpdesk/tools/site+check/comodo/

Ik ben benieuwd hoe langt het nog duur voor dat de eerste browser Comodo uit de rootstore zal halen:

https://bugzilla.mozilla.org/show_bug.cgi?id=470897

EV SSL is ook een belachelijk idee. Dan moet je extra betalen voor het werk wat sowieso al zou moeten gebeuren, namelijk controleren dat het domein echt bij de aanvrager hoort.

Bij SSL wordt je sowieso een poot uit gedraaid :) Belachelijke prijs voor een SSL cert, terwijl self-signed certs op technisch niveau even veilig zijn.

Als je écht wil kan je wel een faked EV-SSL cert krijgen op naam van een niet bestaand bedrijf, het vereist alleen wat extra werk.

Maar je hebt voor 9.95$ al een RapidSSL cert, de browsers accepteren het gewoon en geen haan zal er naar kraaien, want het slotje staat gewoon onderaan :)

En, is dit nieuw?
Kom op nou, security.nl, tweakers.net iedereen heeft er over maar echt bijna niemand doet hier iets mee!

Ja er is fout, los het dan op!! ga niet persoontje ik weet het beter, de vinger aanwijzen maar zorg dan te minsten dat hier door de overheid is serieus naar word gekeken. Vooral DigID.

COMODO zou zich moeten schamen, je bent een goed erkend bedrijf en dan ga je certificaten klakkeloos uitgeven, zonder controle.

En wat is die zogenaamde extra die EV-SSL bied? Ze kijken wat beter naar de aanvraag en je krijgt een mooi groen balkje. Net alsof dat phishers en anders gespuis tegen gaat houden.

Als ik me goed herinner zijn er al meerdere studies losgelaten op het EV-SSL verhaal, en de conclusie is dat het gebruikers niet substantieel helpt bij het identificeren van een phishing site.

In the end it's all worthless. Dus waarom zou je als bank overstappen naar iets dat duurder is maar niet effectiever?

Het probleem van niet EV certificaten is dat gebruikers veel te ver moeten zoeken om te kijken aan wie dit certificaat is uitgegeven.

Zo zullen de meeste gebruikers het verschil niet zien tussen een DV (domein gevalideerd) of OV (organisatie gevalideerd) certificaat niet zien.

Problemen als zoals vandaag werd gepresenteerd op Black Hat zullen een gebruiker dus niet snel opvallen:

http://www.theregister.co.uk/2009/07/30/universal_ssl_certificate/

Omdat een EV certificaat de bedrijfsnaam in de URL weergeeft wordt het voor een gebruiker veel makkelijk om bij elk bezoek te controleren wie er achter een site zit!

Het blijft altijd een vraag of de gebruiker wel of niet de moeite neemt om te kijken aan wie het certificaat is uitgegeven! Maar EV is wel degelijk een stap in de goede richting.

Probeer maar eens een EV certificaat te bestellen en ervaar zelf hoe goed deze gecontroleerd worden!

Je bent nooit secure, maar je kan er zo veel mogelijk aan doen om zo goed mogelijk beveiligd te zijn.

@Martijn Ik heb nog steeds het vermoeden dat de grootste extra aan EV het extra geld is dat je er voor betaald. ;-)

Ik heb pas 1 extra gezien, dat is dat er nog nooit zo MD5-certificaat mee is uitgegeven (en dus werkt de enigsinds recent uitgekomen MD5-hack om de public key te onfutselen niet). Maar dat werkt niet zo lang, een hack voor SHA1 is vast al onderweg.

Het andere argument dat ik wel eens heb gehoord is dat ze geen EV's uitgegeven bij domeinen die veel op elkaar lijken, zodat phishing niet mogelijk zou zijn, maar of ze dat ook echt gaan weigeren ?

MD5 is al weer even geleden, de CA's hebben dit bijna per direct aangepast en diverse extra controle's ingebouwd waardoor dit niet snel nog een keer zou kunnen plaatsvinden. (wat niet wil zeggen dat het zeer ernstig was en dit nooit had mogen gebeuren!)

Ja, ook SHA1 zal binnen enkele jaren gekraakt worden daar ze inmiddels weten dat deze ook niet 100% veilig is. Maar we moeten het er nog even mee doen, er zijn nog geen SHA2 root-certificaten (maar gaan wel snel komen!) maar ook de meeste software ondersteund nog geen SHA2.

Ik denk niet dat het er om gaat of domeinnaam A veel lijkt op domeinnaam B. Het verminderd de kans op phishing aangezien er een strenge validatie op de uitgifte zit en alle informatie in het certificaat wordt weergegeven (en de naam van de phisher wordt weergegeven in de groene balk)

Je kan het op een andere manier vergelijken: een inbreker legt netjes zijn paspoort op tafel mocht je de schade op hem willen verhalen!

En ja, een EV certificaat is wel een stukje duurder dan een certificaat welke niet gevalideerd wordt. Maar een goede validatie kost ook meer tijd en dus geld!

CA's als Comodo hebben de prijs van een OV (organisatie gevalideerd) certificaat flink naar beneden kunnen krijgen maar daar zie je nu dus ook de gevolgen van. Comodo de CA welke gebruikt wordt voor phishing sites omdat er geen adequate validatie door de CA plaats vind en dus gemakkelijk een fals certificaat gekregen kan worden.

Voor EV hebben alle CA's dezelfde validatie regels en kan er makkelijker worden ingegrepen als een van die deze niet of niet volledig volgt.

Nog even over Comodo, ze hebben recent wel hun beleid bijgesteld. Alles wat ze eerder makkelijk over deden doen ze nu bij een renewal als nog.

Ik had al wel het vermoeden dat de browser-fabrikanten de duimschroef zouden aandraaien en het heeft dus enig effect opgeleverd.

"doen ze nu bij een renewal als nog"

Dat klinkt niet heel duidelijk, ze controleren het nu wel bedoel ik.

Paul, Je hebt het wel erg tegen Comodo he?

Voor de duidelijkheid, wat Paul hier niet verteld is dat Comodo geen vals certificaat heeft uitgegeven, maar 1 van de resellers van Comodo. Daarna is die reseller direct zijn account verloren, en doet Comodo ook steekproeven van tijd tot tijd.

@Martijn: "en doet Comodo ook steekproeven van tijd tot tijd"

Steekproefgewijs controleren is geen controle!, een goede CA vertrouwd niet op resellers voor de controle en controleert gewoon elk certificaat. Een phisher zou zich namelijk ook gewoon als reseller kunnen inschrijven, tegen de tijd dat dit wordt opgemerkt is het kwaad al geschiet.

Byte heeft het certificaat voor www.digid.nl ook kunnen aanvragen met een Comodo certificaat, het is dus nog steeds niet goed geregeld!

Ik ben voor een strenge controle voor de uitgifte van certificaten, wat Comodo doet is het geven van schijnveiligheid. ( zeker de garantie welke volgens de voorwaarde 'nooit' zal worden uitbetaald :-) )

Oke, heb ik soms een zonnesteek opgelopen :p
Ik ga reclame maken voor een concurrent 8O

Networking4all, kan ook GlobalSign SAN EV certificaten leveren.
Je hebt hier één certificaat welke voor meerdere (sub)domeinen geldig is. Je kunt dus webmail en je klantpaneel beide SSL EV beveiligen. En de kosten zijn goed te doen :)

@Paul: wat is het voordeel van een SSL EV certificaat? Die controle zouden ze anders ook moeten doen, de organisatie naam weergeven in de browser/adresbalk kan technisch gezien ook bij andere certificaten (browsers moeten aangepast worden). Wat is er nou extra goed aan die SSL EV certificaten wat ze niet kunnen regelen bij andere certificaten of zouden moeten regelen voor andere certificaten?

Op Wikipedia staat wel een PDF, misschien dat het daar in detail in staat:

http://cabforum.org/EV_Certificate_Guidelines_V11.pdf
http://en.wikipedia.org/wiki/EV_Certificate

( ik had geen zin om het te lezen ;-) Ik geloof niet zo in EV-certs )

Een EV certificaat wordt uitgegeven volgens de regelgeving welke bepaald is door het CA/Browser Forum http://www.cabforum.org/ (hierin zitten alle CA's welke EV kunnen uitgeven en alle bedrijven welke browser maken met EV ondersteuning)

Het techinische verschil zit hem in het OID, een markering in het certificaat welke aangeeft dat dit certificaat is uitgegeven volgens de EV validatie regels.

De stelling dat dit dus ook gewoon met OV certificaten zou kunnen klopt, in principe staat er in deze certificaten dezelfde informatie. Maar omdat elke CA heeft zo zijn eigen regels heeft voor het valideren van de informatie welke in het certificaat worden opgenomen is er geen enkele zekerheid dat dit ook een degelijke controle is geweest!

Om er voor te zorgen dat deze zekerheid er wel is zijn de belanghebbende met elkaar om te tafel gaan zitten in het CA/Browser Forum om tot een oplossing te komen.

In dit CA/Browser Forum zijn alle regels bepaald van validatie tot technische eisen van een certificaat. (zoals bijvoorbeeld een minimale bit-lengte van 2048 bit)

Deze oplossing is het EV certificaat geworden, een certificaat met een gekwalificeerde validatie.