Beste bezoeker,

Wij zien dat u een adblocker gebruikt die ervoor zorgt dat u geen advertenties ziet op computerworld.nl. Dit vinden wij jammer, want computerworld.nl is mede dankzij deze advertenties gratis toegankelijk. Wilt u een uitzondering maken voor computerworld.nl door deze te whitelisten?
!
Welkom op computerworld.nl! Wist u dat u met een gratis Insider-account altijd op de hoogte blijft over al het nieuws, achtergrondartikelen, opinies, interviews en events rondom IT? Schrijf u nu gratis in »
  •  
  •  
7 Reacties Bewaren
SSL Security

Red het SSL-certificaat, neem het systeem op de schop

Google krijgt kritiek op zijn actie tegen de SSL-certificaten van Symantec, maar bewijst ons allen een grote dienst. Het toont de onbetrouwbaarheid van het systeem aan en dat probleem moet bij de kern worden aangepakt.

Google kondigde voor het weekeinde aan dat het het vertrouwen in de certificaten van Symantec wil opzeggen. In de komende versie van Chrome zou de browser die certificaten niet meer als betrouwbaar bestempelen. Dat heeft vanzelfsprekend grote gevolgen, niet alleen voor de gebruikers van Chrome zelf, maar vooral voor het imago van Symantec als certificaatautoriteit (CA). En niet alleen voor Symantec, maar voor het vertrouwen in "het groene slotje" bij de gemiddelde gebruiker die altijd heeft geleerd vooral daarop te vertrouwen.

Waar gaat het nu om? Volgens Google geeft Symantec te makkelijk certificaten uit aan criminelen en phishers, of althans aanvragers met niet altijd even nobele bedoelingen. Google zegt dat het bij Symantec gaat om meer dan 30.000 SSL/TLS-certificaten, Symantec zelf bestrijdt dat en houdt het op 127 certificaten. Daarnaast zegt Symantec allerlei extra veiligheidsmaatregelen te hebben genomen nadat die kwestie aan het licht is gekomen, en nu dus beter oplet.

De hele kwestie is veel groter dan dat. Een analyse van de certificaten die Let's Encrypt heeft uitgegeven in de afgelopen maanden laat een schrikbarende stijging zien van het aantal uitgegeven certificaten aan PayPal-phishers. Let's Encrypt zegt gratis certificaten uit te delen om zo "het internet veiliger te maken" en versleuteling toegankelijker te maken voor het grote publiek. Dat theoretisch nobele streven komt als een boemerang terug nu duizenden van die certificaten in verkeerde handen terecht komen, dit jaar alleen al meer dan 10.000.

In de laatste jaren is het vertrouwen in CA's en hun beleid in het uitgeven van certificaten al menig maal geschokt. In Nederland weten we nog zeer goed te herinneren hoe het fout ging met certificaten van DigiNotar en in Turkije was er een affaire met Turktrust. Met de komst van gratis certificaten in de afgelopen twee jaar is het ondanks de goede bedoelingen van de aanbieders niet veiliger geworden op het internet.

En hoe komt dat? Simpelweg omdat de aanvragers van die certificaten niet worden onderworpen aan onderzoek naar de betrouwbaarheid. Let's Encrypt heeft wil wel de transparantie van die uitgifte bevorderen door logs beschikbaar te stellen waarin iedereen kan zien aan wie certificaten worden uitgedeeld (wat tot de ontdekking van die duizenden PayPal-phishingdomeinen heeft geleid), maar heeft in zijn geautomatiseerde uitgifteproces geen robuust controlemechanisme die alarm slaat bij verdachte situaties, zo lijkt het.

De certificaten geven aan dat de verbinding die de gebruiker legt met het te bezoeken domein versleuteld is. Het groene slotje in de balk van de browser is daar een indicatie van. Googles Chrome geeft daarbij ook voor de duidelijkheid nog het woordje "Veilig" naast het slotje. Daarmee worden gebruikers onbedoeld op het verkeerde been gezet. Want de gemiddelde gebruiker denkt naar een veilige website te gaan en is zich niet bewust van de beperkingen van het groene slotje, namelijk dat deze alleen aangeeft dat het domein aan de andere kant van de verbinding SSL/TLS aanbiedt voor de versleuteling van die verbinden. Simpel gezegd: de betrouwbaarheid van de verbinding zegt niets over de betrouwbaarheid van de website.

En daar gaat het dus mis: de perceptie van de gemiddelde gebruiker sluit niet aan bij de realiteit en daarom is het Google ernst. Er is in de afgelopen jaren zo veel energie gestoken in het opvoeden van de gebruikers, maar daar zitten ook grenzen aan. Mensen verwachten simpelweg dat een beveiligde verbinding betekent dat het te bezoeken domein eveneens betrouwbaar is. Je kan ze vertellen dat dat niet zo is, maar dat ondermijnt opnieuw het vertrouwen en het is maar de vraag of dergelijke details landen bij het grote publiek.

En dus gaat Google er met gestrekt been in. Symantec kan moord en brand schreeuwen, en natuurlijk moet ook Let's Encrypt worden aangepakt, maar feit is dat je grote vraagtekens kan stellen aan de houdbaarheid van het hele CA-systeem zoals die nu is. Als dergelijke belangrijke technologie die de betrouwbaarheid van het internet(gebruik) sterk moet ondersteunen zo makkelijk in verkeerde handen kan vallen, zullen we moeten kijken naar een ander systeem om de betrouwbaarheid van die certificaten te waarborgen.

Gerelateerde vragen

Meer vragen »

Oudste boven ▾ Reacties

    • 0 +1
      Bassman
      Bassman op 28 maart 2017 om 22:50 Meld misbruik

      Confidentialiteit en authenticatie zijn in hetzelfde mechanisme gerold, dat is onhandig.

      |
    • 0 +1
      digizaal
      digizaal op 28 maart 2017 om 22:18 Meld misbruik

      Je kunt een prima SSL versleuteling hebben zonder een officieel certificaat. Het certificaat garandeert je alleen maar dat je echt verbonden bent met een emailer cq. systeem dat echt is wat het zegt dat het is.

      |
    • 0 +1
      silentBill
      silentBill op 29 maart 2017 om 07:14 Meld misbruik

      Nee, het zegt dat het certificate een certificate is dat wordt vertrouwd door een registrar.

      Niets meer en niets minder.

      Je weet nog steeds niet van wie het certificate is, wie het gekocht heeft, wie het gebruikt heeft of wat dan maar ook. Een man in the middle kan perfect een "geldig" certificate gebruiken, en je moet al veel onderzoek doen om te zien dat die groene balk in je browser niet gewoon afkomstig is van een man in the middle rather than van de eigenaar van de webserver..

      |
    • 0 +1
      www
      www op 27 maart 2017 om 18:59 Meld misbruik

      Er is nogal een verschil tussen DV certificaten en EV certificaten. In het geval symantec gaat het om verkeerd uitgegeven EV certificaten.

      Dat is niet vergelijkbaar met Lets Encrypt, die uitsluitend DV certificaten uitgeeft.

      DV doet alleen een uitspraak over beveiliging van de verbinding en is dus nog steeds accuraat. (Als je een A scoort bij del SSL test-sites)...

      |
    • +1 +2
      Pinokkio
      Pinokkio op 27 maart 2017 om 17:31 Meld misbruik

      Het hele certificaatgedoe is bedoeld om te voorkomen dat je via een onbeveiligde verbinding je data kon kwijtraken. De lol van dat hele CA-gedoe gaat een beetje over als je via een beveiligde verbinding toch gewoon op een site terechtkomt waar je alsnog je data kwijtraakt. Het mag dan wel niet expliciet bij elkaar horen maar wel impliciet. Een beveiligde verbinding heeft geen enkele zin als de website niet OK is. Google trek m.i. wel degelijk terecht en hard aan de rem!

      Reactie gewijzigd op 28 maart 2017 om 09:12 |
    • 0 +1
      uberbofh
      uberbofh op 27 maart 2017 om 15:59 Meld misbruik

      De betrouwbaarheid van de verbinding zegt niets over de betrouwbaarheid van de website.

      Nogal wiedes. Anders dan bij een domeinvalidatie certificaat wordt bij de uitgifte van een EV certificaat meerdere stappen doorlopen (WHOIS / KVK / Formulier / Telefonische - validatie).

      |
    • 0 +1
      Zorba
      Zorba op 28 maart 2017 om 20:08 Meld misbruik

      Helaas kijken de gebruikers daar niet echt naar. Die klikken op alles wat klikbaar is en daar doet het certificaat type niets aan af. Let's encrypt is weer een goed bedoeld maar verkeerd aangepakt monster en Symantec zou beter moeten weten.

      |

  • Reageren

  • Reactie bewerken

  • Misbruik melden

Reageer

Om een reactie te plaatsen moet u ingelogd zijn.

Preview