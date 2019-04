Men spreekt doorgaans nog steeds van SSL, terwijl we tegenwoordig al gebruik maken van de moderne versie TLS (Transport Layer Security). SSL-certificaten gebruiken het https-protocol van de browser om een beveiligde verbinding tot stand te brengen. De websitebezoeker is in zo'n geval verzekerd dat de gevonden server is wie hij zegt te zijn (authenticatie) en dat gegevens die met de website worden uitgewisseld, zijn versleuteld (encryptie).

Nu SSL (of eigenlijk dus TLS) gegroeid is tot het standaard protocol, maken cybercriminelen in toenemende mate gebruik van versleuteling om aanvallen te verhullen. Dit is mogelijk doordat SSL-certificaten, die in het verleden moeilijk te verkrijgen waren, inmiddels gemakkelijk en kosteloos verkrijgbaar zijn.

De gevaren van SSL-certificaten

De browser toont de aanwezigheid van zo'n certificaat met de toevoeging van de S achter http (wat staat voor secured), plus een (groen) slotje. Maar hiermee geeft het https-protocol een onterecht gevoel van veiligheid. Wanneer het kleine slotje voor de adresbalk staat, geloven veel mensen namelijk dat de website die zij bezoeken volkomen veilig is. Dat komt mede doordat bij tips voor veilig internetten vaak wordt gewezen te letten op het slotje. Dat slotje geeft dus echter geen garantie dat alles veilig is. Het laat alleen zien dat het transmissie-mechanisme van de website veilig is, wat inhoudt dat de 'tunnel' tussen jou en de website versleuteld is.

SSL zorgt er wel voor dat niemand 'meeluistert', maar kan daardoor ook worden misbruikt. Endpoint-beveiligingssoftware ontsleutelt doorgaans namelijk geen SSL-verkeer. Die software controleert enkel of er sprake is van een versleutelde tunnel, en dus blijft malware onopgemerkt die via een https-verbinding wordt verspreid. Daardoor vormt dit een grote bedreiging voor gebruikers die veronderstellen dat websites met een groen slotje volledig veilig zijn. Want het https-protocol beschermt niet tegen het downloaden van besmette content of het openen van een malafide link over een beveiligde verbinding.

Organisatie of gebruiker beschermen

Als organisatie is het kortom niet voldoende om te vertrouwen op SSL(TLS)-certificaten om je omgeving vrij te houden van dreigingen. Bij het beschermen van een organisatie is het cruciaal dat je begint met het beschermen van de privacy en veiligheid van de medewerkers op het web. Zij zijn immers de grootste resource van een organisatie. Dat begint met het in kaart brengen van de gevaren waaraan gebruikers online worden blootgesteld - en de enige manier om dat te doen, is door het SSL-verkeer te ontsleutelen.

Het ontsleutelen van dit type verkeer is, zoals gezegd, geen onderdeel van de meeste standaard endpoint-beveiligingssoftware, dus moet dit op een andere manier worden opgelost. Vaak wordt hiervoor (dedicated) hardware ingezet die SSL-verkeer decrypt en vervolgens weer re-encrypt. Deze hardware staat dan in de IT-omgeving van je organisatie. Maar het decrypten van SSL-verkeer is een zeer intensief klusje, waardoor het ook op dit punt verstandig lijkt om de gang naar de cloud te maken. Daar kun je zoals bekend nagenoeg oneindig doorschalen, wat gezien de almaar groeiende aantallen bedreigingen best eens nodig zou kunnen zijn.

Stan Lowe is Chief Information Security Officer (CISO) bij Zscaler Inc.