Ssl-cer­ti­fi­ca­ten zijn on­mis­baar

Web Designer Magazine - - Inhoud - Ly­gia Smit by­te.nl/blog/au­thor/ly­gia

Gra­tis Ssl-cer­ti ica­ten ma­ken het in­ter­net niet vei­li­ger.

Dat een Ssl-cer­ti­fi­caat on­mis­baar is voor el­ke si­te en shop waar pri­va­cy­ge­voe­li­ge ge­ge­vens wor­den uit­ge­wis­seld, hoeft geen is­sue meer te zijn. Sinds Goog­le twee jaar ge­le­den aan­kon­dig­de dat het gebruik van SSL mee­ge­no­men wordt in de ran­king en er sinds kort gra­tis Ssl-cer­ti­fi­ca­ten wor­den aan­ge­bo­den, is het gebruik van SSL be­hoor­lijk ge­ste­gen. Van­daag de dag ge­brui­ken zo’n 45.000 Ne­der­land­se shops (on­ge­veer de helft van al­le web­shops) een Ssl-cer­ti­fi­caat (bron: SIDN.NL). Goed nieuws dus!

Of een si­te SSL ge­bruikt, zie je in de brow­ser aan de groe­ne balk die wordt weer­ge­ge­ven voor het do­mein. De groe­ne balk krijg je ech­ter al­leen te zien als een si­te be­vei­ligd is met een EV Ssl-cer­ti­fi­caat. Dit zijn de meest uit­ge­brei­de Ssl-cer­ti­fi­ca­ten en het groot­ste ver­schil zit in de va­li­da­tie er­van. De uit­ge­ver van zo’n cer­ti­fi­caat doet een uit­ge­brei­de back­ground­check van de aan­vra­ger. Zo wordt er bij­voor­beeld ge­con­tro­leerd of er een le­gi­tiem be­drijf ach­ter een aan­vraag zit. Dat pro­ces kan en­ke­le we­ken in be­slag ne­men. Min­der uit­ge­brei­de, maar net zo vei­li­ge cer­ti­fi­ca­ten zijn min­der vi­su­eel aan­we­zig. Die her­ken je vaak al­leen aan het slot­je in de adres­balk en het feit dat er niet http:// voor een do­mein­naam staat, maar htt­ps://.

Veel in­ter­net­ge­brui­kers we­ten niet dat er wat ver­sleu­te­ling be­treft ei­gen­lijk geen ver­schil zit tus­sen de cer­ti­fi­ca­ten. Het vei­lig­heids­pro­bleem ligt ech­ter niet in de ver­sleu­te­ling, maar in de va­li­da­tie van de aan­vra­ger van het cer­ti­fi­caat. Voor­heen werd el­ke aan­vraag pas ge­va­li­deerd door de uit­ge­ver als de aan­vra­ger door een back­ground­check kwam. De nieu­we gra­tis Ssl-cer­ti­fi­ca­ten zor­gen er­voor dat ie­der­een, dus ook kwaad­wil­len­den, mak­ke­lijk en snel een Ssl-cer­ti­fi­caat aan hun do­mein kun­nen han­gen. Zo­lang ze maar toe­gang heb­ben tot het do­mein.

Elk ma­la­fi­de be­drijf kan dus een (gra­tis) Sslcer­ti­fi­caat aan­vra­gen. Zo­dra je op zo’n website komt en je ‘htt­ps’ in de adres­balk ziet staan, waan je je dus vei­lig. Er wordt toch een ver­sleu­tel­de ver­bin­ding op­ge­zet, niet waar? Je ge­ge­vens zijn dan mis­schien vei­lig dank­zij de ver­sleu­tel­de ver­bin­ding, maar de ont­van­ger hoeft dat niet per se te zijn. Om­dat met gra­tis Ssl-cer­ti­fi­ca­ten de back­ground­check van de aan­vra­ger weg­valt, vraag ik mij af hoe vei­lig gra­tis SSL wer­ke­lijk is.

Com­mer­ci­ë­le Ssl-le­ve­ran­ciers con­tro­le­ren hand­ma­tig of het do­mein waar­voor SSL is aan­ge­vraagd, wordt ge­bruikt voor phis­hing en mal­wa­re. Om­dat de gra­tis Ssl-le­ve­ran­ciers dit con­tro­le­punt heb­ben ge­au­to­ma­ti­seerd, is het mak­ke­lijk te om­zei­len. On­langs werd ook be­kend dat het mo­ge­lijk was voor hac­kers om sub­do­mei­nen aan te ma­ken zon­der dat de recht­ma­ti­ge ei­ge­naar van het do­mein het wist. Dit sub­do­mein poin­ten ze dan naar hun eigen ser­vers en ze han­gen er een gra­tis Sslcer­ti­fi­caat aan. Jij als niets­ver­moe­den­de be­zoe­ker denkt op een le­gi­tie­me pa­gi­na te zijn en laat mis­schien zelfs pri­va­cy­ge­voe­li­ge ge­ge­vens ach­ter. Gra­tis SSL is be­doeld om het in­ter­net vei­li­ger te ma­ken, maar we ont­ko­men er niet aan dat goe­de soft­wa­re mis­bruikt wordt door kwaad­wil­len­den. We zien dat vei­lig­heid op het web van­daag de dag so­wie­so een veel be­spro­ken on­der­werp is. Nog niet heel lang ge­le­den werd de we­reld op­ge­schrikt door een we­reld­wij­de ransom­wa­re-hack. Waar de­ze hack pre­cies van­daan komt, daar zijn de me­nin­gen nog over ver­deeld, maar de ge­vol­gen er­van zijn nog steeds voel­baar. Hoe­wel de hack voor­al op or­ga­ni­sa­ties en be­drij­ven was ge­richt, doet het niet veel goeds voor het ge­voel van (web)vei­lig­heid bij de par­ti­cu­lie­re in­ter­net­ge­brui­ker.

Bij By­te mer­ken we de ge­vol­gen van de we­reld­wij­de hacks en (Ddos-)aan­val­len ook. We ra­den on­ze klan­ten dan ook al­tijd aan om zo­veel mo­ge­lijk vei­lig­heids­maat­re­ge­len te ne­men. Denk bij­voor­beeld aan het tij­dig up­da­ten van je soft­wa­re, het gebruik van two-fac­tor au­then­ti­ca­ti­on, het wij­zi­gen van je ad­min-url en na­tuur­lijk de aan­schaf van een (EV) Ssl-cer­ti­fi­caat. Zo kun je zelf de eer­ste stap­pen zet­ten voor een vei­li­ger in­ter­net en zien jouw be­zoe­kers dat ze za­ken doen met een be­trouw­ba­re par­tij.

We ont­ko­men er niet aan dat goe­de soft­wa­re mis­bruikt wordt door hac­kers

Newspapers in Dutch

Newspapers from Netherlands

© PressReader. All rights reserved.