Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Nieuwe browser waarschuwt voor ‘onveilige’ SSL-certificaten

  • Door
  • Arnout Veenman
  • geplaatst op
  • 8 maart 2010 08:03 uur

Een nieuwe browser die gebaseerd is op Google Chromium waarschuwt gebruikers voor SSL-certificaten die alleen op basis van het domein zijn gevalideerd. Daarmee worden de helft van alle uitgegeven SSL-certificaten door de browser als onveilig aangemerkt, meldt Netcraft.

Enigszins hypocriet is het feit dat de browser – Comodo Dragon – wordt ontwikkeld door het gelijknamige internetbedrijf, dat zelf één van de grootste uitgevers is van domein-gevalideerde SSL-certificaten.Volgens Netcraft gaat het 0m 7,6% van alle domein-gevalideerde SSL-certificaten door Comodo uitgegeven. Al wordt er ook voor de ‘onveilige’ SSL-certificaten van Comodo zelf gewaarschuwd door de browser.

Op dit moment is de Comodo Dragon nog de enige browser die waarschuwt voor domein-gevalideerde SSL-certificaten, maar zo waarschuwt Netcraft zodra mainstream browsers dit overnemen dan ontstaat er een probleem. Totaal zouden er 683.563 van deze certificaten zijn uitgegeven. Terwijl maar 0,3% van de phishingwebsites een SSL-certificaat heeft (inclusief gekaapte websites met een valide SSL-certificaat).

Een bijkomend probleem is dat gebruikers wars worden van dit soort waarschuwingen en het simpelweg wegklikken. Op die manier zouden waarschuwingen over échte problemen – zoals verlopen of valse SSL-certificaten – ook weggeklikt door gebruikers.

Sebastiaan, 8 maart 2010 12:24 pm

Dit is eigenlijk al weer oudnieuws :)
Maar te gek voor worden dat een bedrijf welke zelf niet goed gevalideerde certificaten een browser uitbrengt welke voor ongeldige certificaten waarschuwt.

Waar dit probleem precies vandaan komt is dat USER-TRUSTED NETWORK van Comodo is ontwikkeld voor het beveiligen van hostnamen die binnen een network worden gebruikt.
Zo kan live.com de naam van een server binnen het netwerk zijn (you know, its its a live - Dan Kaminsky HAR2009)

Maar voor een eigen netwerk kan je elke naam bedenken, en dat is voor externe partijen niet te controleren.
Dat is waar dit probleem vandaan komt.
Eigenlijk zouden ze daar iets op moeten verzinnen, een eigen CA is volgens mij nog altijd de beste optie (want aangezien dit ook niet veilig is).

Jan-Marten de Boer, 8 maart 2010 12:27 pm

Ja, kom op zeg. Als we al onze techniek gaan basseren op wat de mogelijke reactie is van mensen die niet weten wat ze lezen, dan kunnen we wel ophouden het web te beveiligen. Als mensen niet de moeite willen nemen om zichzelf goed in te lichten over wat er met hun systeem gebeurt, dan is dat een eigen risico. Dat men zomaar iets weg klikt is een fenomeen dat is ontstaan door alle pop-ups die je als Windows gebruiker voor de kiezen krijgt, omdat het systeem vol lekken zit. Hoe ga je dezelfde gebruiker beschermen tegen het afluisteren als deze ook zomaar een vals certificaat toestaat?

Sebastiaan, 8 maart 2010 1:35 pm

Zelf gebruik ik Firefox met SSLBlacklist (werkt met enige aanpassing ook in Firefox 3.6) en als je wilt Perspectives om te controleren of het certificaat wel geldig is.
Voor SSLBlacklists is er overigens ook een local database van 36MB, maar dan wordt Firefox heeelllll langzaam heb ik gemerkt.

Lennie, 10 maart 2010 11:49 am

What veel 'erger' is, is dat ze hun eigen domain-validated wel toe laten. Beetje hypocriet. ;-)

Sebastiaan Stok, 10 maart 2010 1:42 pm

Ze zijn wel geldig, alleen kan er heel gemakkelijk misbruik van worden gemaakt. Omdat de validatie aan de Reseller wordt overgelaten :) en veelal doet die niet voldoende controle uitvoeren.

Dit is één van de redenen waarom niet met COMODO SSL werk.

Sebastiaan Stok, 10 maart 2010 1:45 pm

Oké, niet helemaal waar.
Ik heb één subdomein die COMODO gebruikt, maar dan niet USER-TRUSTED NETWORK. Maar Comodo CA Limited.

En dan was alleen omdat het voor nu wat goedkoper was :)

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.