Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

‘Websites van banken en overheid onvoldoende beveiligd’

  • Door
  • Randy ten Have
  • geplaatst op
  • 30 juli 2009 08:03 uur

hangslotHet programma Netwerk heeft vrijdagavond samen met Byte een artikel gemaakt over EV-SSL. De strekking is dat websites hun identiteit duidelijker kunnen presenteren aan hun bezoekers. Met Extended Validation SSL wordt niet het verkeer alleen versleuteld, maar weet je ook met wie je zaken doet.

“Het lijkt een goed idee om niet meer 3xkloppen.nl te doen, maar 4x kloppen (Groene Balk)”, zo laat Byte internet weten. Dit omdat veel banken nog geen EV-SSL certificaat gebruiken. De technische crew van Byte heeft daarom de website van een bank en DigiD nagebouwd en hier een normaal, niet gevalideerd SSL-certificaat voor aangevraagd. De volgende stap zou zijn om het verkeer richting de valse website te krijgen. Hoe dit kan, leggen zij uit in de uitzending van Netwerk.

EV-SSL certificaten zijn al enige tijd verkrijgbaar. Banken als DSB Bank, Rabobank en ABN-AMRO maar ook overheidssites als DigiD gebruiken echter nog de oude certificaten. Dit terwijl deze om ‘technische reden’ (het verlopen van de geldigheid, red.) al wel vervangen hadden kunnen worden. Zo is vorige maand het certificaat van de DSB bank nog vervangen door een nieuw exemplaar. Ook de SSL certificaten van de Rabobank en DigiD zijn nog geen jaar terug verlend.

De uitzending van Netwerk is via deze link online te kekijken.

Paul van Brouwershaven, 30 juli 2009 8:34 am

Ook hier is er voor de `hack` weer eens gebruik gemaakt van Comodo certificaten:

http://www.networking4all.com/nl/helpdesk/tools/site+check/comodo/

Ik ben benieuwd hoe langt het nog duur voor dat de eerste browser Comodo uit de rootstore zal halen:

https://bugzilla.mozilla.org/show_bug.cgi?id=470897

MikeN, 30 juli 2009 10:44 am

EV SSL is ook een belachelijk idee. Dan moet je extra betalen voor het werk wat sowieso al zou moeten gebeuren, namelijk controleren dat het domein echt bij de aanvrager hoort.

Wido, 30 juli 2009 10:53 am

Bij SSL wordt je sowieso een poot uit gedraaid :) Belachelijke prijs voor een SSL cert, terwijl self-signed certs op technisch niveau even veilig zijn.

Als je écht wil kan je wel een faked EV-SSL cert krijgen op naam van een niet bestaand bedrijf, het vereist alleen wat extra werk.

Maar je hebt voor 9.95$ al een RapidSSL cert, de browsers accepteren het gewoon en geen haan zal er naar kraaien, want het slotje staat gewoon onderaan :)

Sebastiaan Stok, 30 juli 2009 10:59 am

En, is dit nieuw?
Kom op nou, security.nl, tweakers.net iedereen heeft er over maar echt bijna niemand doet hier iets mee!

Ja er is fout, los het dan op!! ga niet persoontje ik weet het beter, de vinger aanwijzen maar zorg dan te minsten dat hier door de overheid is serieus naar word gekeken. Vooral DigID.

COMODO zou zich moeten schamen, je bent een goed erkend bedrijf en dan ga je certificaten klakkeloos uitgeven, zonder controle.

Martijn, 30 juli 2009 5:23 pm

En wat is die zogenaamde extra die EV-SSL bied? Ze kijken wat beter naar de aanvraag en je krijgt een mooi groen balkje. Net alsof dat phishers en anders gespuis tegen gaat houden.

Als ik me goed herinner zijn er al meerdere studies losgelaten op het EV-SSL verhaal, en de conclusie is dat het gebruikers niet substantieel helpt bij het identificeren van een phishing site.

In the end it's all worthless. Dus waarom zou je als bank overstappen naar iets dat duurder is maar niet effectiever?

Paul van Brouwershaven, 30 juli 2009 5:44 pm

Het probleem van niet EV certificaten is dat gebruikers veel te ver moeten zoeken om te kijken aan wie dit certificaat is uitgegeven.

Zo zullen de meeste gebruikers het verschil niet zien tussen een DV (domein gevalideerd) of OV (organisatie gevalideerd) certificaat niet zien.

Problemen als zoals vandaag werd gepresenteerd op Black Hat zullen een gebruiker dus niet snel opvallen:

http://www.theregister.co.uk/2009/07/30/universal_ssl_certificate/

Omdat een EV certificaat de bedrijfsnaam in de URL weergeeft wordt het voor een gebruiker veel makkelijk om bij elk bezoek te controleren wie er achter een site zit!

Het blijft altijd een vraag of de gebruiker wel of niet de moeite neemt om te kijken aan wie het certificaat is uitgegeven! Maar EV is wel degelijk een stap in de goede richting.

Probeer maar eens een EV certificaat te bestellen en ervaar zelf hoe goed deze gecontroleerd worden!

Je bent nooit secure, maar je kan er zo veel mogelijk aan doen om zo goed mogelijk beveiligd te zijn.

Lennie, 31 juli 2009 1:01 am

@Martijn Ik heb nog steeds het vermoeden dat de grootste extra aan EV het extra geld is dat je er voor betaald. ;-)

Ik heb pas 1 extra gezien, dat is dat er nog nooit zo MD5-certificaat mee is uitgegeven (en dus werkt de enigsinds recent uitgekomen MD5-hack om de public key te onfutselen niet). Maar dat werkt niet zo lang, een hack voor SHA1 is vast al onderweg.

Het andere argument dat ik wel eens heb gehoord is dat ze geen EV's uitgegeven bij domeinen die veel op elkaar lijken, zodat phishing niet mogelijk zou zijn, maar of ze dat ook echt gaan weigeren ?

Paul van Brouwershaven, 31 juli 2009 8:09 am

MD5 is al weer even geleden, de CA's hebben dit bijna per direct aangepast en diverse extra controle's ingebouwd waardoor dit niet snel nog een keer zou kunnen plaatsvinden. (wat niet wil zeggen dat het zeer ernstig was en dit nooit had mogen gebeuren!)

Ja, ook SHA1 zal binnen enkele jaren gekraakt worden daar ze inmiddels weten dat deze ook niet 100% veilig is. Maar we moeten het er nog even mee doen, er zijn nog geen SHA2 root-certificaten (maar gaan wel snel komen!) maar ook de meeste software ondersteund nog geen SHA2.

Ik denk niet dat het er om gaat of domeinnaam A veel lijkt op domeinnaam B. Het verminderd de kans op phishing aangezien er een strenge validatie op de uitgifte zit en alle informatie in het certificaat wordt weergegeven (en de naam van de phisher wordt weergegeven in de groene balk)

Je kan het op een andere manier vergelijken: een inbreker legt netjes zijn paspoort op tafel mocht je de schade op hem willen verhalen!

En ja, een EV certificaat is wel een stukje duurder dan een certificaat welke niet gevalideerd wordt. Maar een goede validatie kost ook meer tijd en dus geld!

CA's als Comodo hebben de prijs van een OV (organisatie gevalideerd) certificaat flink naar beneden kunnen krijgen maar daar zie je nu dus ook de gevolgen van. Comodo de CA welke gebruikt wordt voor phishing sites omdat er geen adequate validatie door de CA plaats vind en dus gemakkelijk een fals certificaat gekregen kan worden.

Voor EV hebben alle CA's dezelfde validatie regels en kan er makkelijker worden ingegrepen als een van die deze niet of niet volledig volgt.

Lennie, 31 juli 2009 8:50 am

Nog even over Comodo, ze hebben recent wel hun beleid bijgesteld. Alles wat ze eerder makkelijk over deden doen ze nu bij een renewal als nog.

Ik had al wel het vermoeden dat de browser-fabrikanten de duimschroef zouden aandraaien en het heeft dus enig effect opgeleverd.

Lennie, 31 juli 2009 8:51 am

"doen ze nu bij een renewal als nog"

Dat klinkt niet heel duidelijk, ze controleren het nu wel bedoel ik.

Martijn, 31 juli 2009 8:58 am

Paul, Je hebt het wel erg tegen Comodo he?

Voor de duidelijkheid, wat Paul hier niet verteld is dat Comodo geen vals certificaat heeft uitgegeven, maar 1 van de resellers van Comodo. Daarna is die reseller direct zijn account verloren, en doet Comodo ook steekproeven van tijd tot tijd.

Paul van Brouwershaven, 31 juli 2009 9:07 am

@Martijn: "en doet Comodo ook steekproeven van tijd tot tijd"

Steekproefgewijs controleren is geen controle!, een goede CA vertrouwd niet op resellers voor de controle en controleert gewoon elk certificaat. Een phisher zou zich namelijk ook gewoon als reseller kunnen inschrijven, tegen de tijd dat dit wordt opgemerkt is het kwaad al geschiet.

Byte heeft het certificaat voor www.digid.nl ook kunnen aanvragen met een Comodo certificaat, het is dus nog steeds niet goed geregeld!

Ik ben voor een strenge controle voor de uitgifte van certificaten, wat Comodo doet is het geven van schijnveiligheid. ( zeker de garantie welke volgens de voorwaarde 'nooit' zal worden uitbetaald :-) )

Sebastiaan Stok, 31 juli 2009 11:27 am

Oke, heb ik soms een zonnesteek opgelopen :p
Ik ga reclame maken voor een concurrent 8O

Networking4all, kan ook GlobalSign SAN EV certificaten leveren.
Je hebt hier één certificaat welke voor meerdere (sub)domeinen geldig is. Je kunt dus webmail en je klantpaneel beide SSL EV beveiligen. En de kosten zijn goed te doen :)

Mark, 31 juli 2009 12:04 pm

@Paul: wat is het voordeel van een SSL EV certificaat? Die controle zouden ze anders ook moeten doen, de organisatie naam weergeven in de browser/adresbalk kan technisch gezien ook bij andere certificaten (browsers moeten aangepast worden). Wat is er nou extra goed aan die SSL EV certificaten wat ze niet kunnen regelen bij andere certificaten of zouden moeten regelen voor andere certificaten?

Lennie, 31 juli 2009 12:23 pm

Op Wikipedia staat wel een PDF, misschien dat het daar in detail in staat:

http://cabforum.org/EV_Certificate_Guidelines_V11.pdf
http://en.wikipedia.org/wiki/EV_Certificate

( ik had geen zin om het te lezen ;-) Ik geloof niet zo in EV-certs )

Paul van Brouwershaven, 31 juli 2009 12:38 pm

Een EV certificaat wordt uitgegeven volgens de regelgeving welke bepaald is door het CA/Browser Forum http://www.cabforum.org/ (hierin zitten alle CA's welke EV kunnen uitgeven en alle bedrijven welke browser maken met EV ondersteuning)

Het techinische verschil zit hem in het OID, een markering in het certificaat welke aangeeft dat dit certificaat is uitgegeven volgens de EV validatie regels.

De stelling dat dit dus ook gewoon met OV certificaten zou kunnen klopt, in principe staat er in deze certificaten dezelfde informatie. Maar omdat elke CA heeft zo zijn eigen regels heeft voor het valideren van de informatie welke in het certificaat worden opgenomen is er geen enkele zekerheid dat dit ook een degelijke controle is geweest!

Om er voor te zorgen dat deze zekerheid er wel is zijn de belanghebbende met elkaar om te tafel gaan zitten in het CA/Browser Forum om tot een oplossing te komen.

In dit CA/Browser Forum zijn alle regels bepaald van validatie tot technische eisen van een certificaat. (zoals bijvoorbeeld een minimale bit-lengte van 2048 bit)

Deze oplossing is het EV certificaat geworden, een certificaat met een gekwalificeerde validatie.

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.