Verwarring over veilige websites door Chrome-update
Deze maand heeft Google de weergave van HTTPS-verbindingen in Google Chrome gewijzigd. Het doel hiervan is het begrijpelijker maken van een beveiligde verbinding voor websitebezoekers. Omdat hierbij geen onderscheid wordt gemaakt tussen de niveaus van SSL-certificaten toont de browser ook ‘Secure’ als een phishingsite met kwade bedoelingen een SSL-certificaat heeft. Wat kunnen we hieraan doen?
Naar een volledig versleuteld internet
Onder andere Google is al geruime tijd bezig met het stimuleren van het gebruik van SSL-certificaten omdat dat leidt tot een veiliger internet. Zo neemt Google sinds enkele jaren het gebruik van HTTPS op de website al mee als rankingfactor in de Google zoekresultaten, en ze nemen vaak het voortouw bij het ontmoedigen van het gebruik van verouderde certificaten. Ook Mozilla Firefox gaat op korte termijn waarschuwen bij webpagina’s met onveilige invulvelden. Sinds kort is de meerderheid van alle webpagina’s via HTTPS bereikbaar, en het gebruik van HTTPS neemt continu toe. Mede dankzij de gratis certificaten van Let’s Encrypt is het aantal domein gevalideerde (DV) certificaten op dit moment 12,2 miljoen. Ter vergelijking: in januari 2016 was dit nog 3,2 miljoen.
Organisaties achter websites niet gecontroleerd
“Dat is toch positief?” zullen velen denken. Absoluut, maar het heeft ook een keerzijde: kwaadwillenden profiteren óók van de betere bereikbaarheid van goedkope of zelfs gratis DV SSL-certificaten. Voor de uitgifte wordt hiervoor alleen gecheckt of de aanvrager toegang heeft tot het domein waarvoor een certificaat wordt aangevraagd. Dit zegt dus niets over de organisatie achter de website.
In 2005 is als reactie op de wildgroei van beperkt gecontroleerde DV-certificaten het Extended Validation-certificaat geïntroduceerd: een voor bezoekers aan de groene adresbalk duidelijk herkenbare hoge standaard van strenge controles. De insteek hierbij is dat een gebruiker niet alleen kan zien dat er een veilige verbinding is, maar ook met wie deze verbinding is. De lange levertijd en strenge voorschriften hebben echter ook gezorgd voor een moeilijk imago bij velen. De groei van het gebruik van EV-certificaten blijft dan ook achter, al is er wel een groei van 14% gemeten over het afgelopen jaar. In Nederland blijkt uit onderzoek dat slechts 0,3% van alle zakelijke websites, en 3,3% van alle webshops EV-certificaten gebruiken.
Domeinen niet gecontroleerd
DV certificaten worden niet handmatig gecheckt. Commerciële certificaatuitgevers werken met een systeem dat waarschuwt bij high-risk domeinen (bijvoorbeeld een domein dat erg lijkt op een populair domein zoals PayPal.com). Op dat moment wordt er een handmatige check gedaan. Voor gratis certificaatdiensten is zo’n handmatige check niet haalbaar. Let’s Encrypt heeft bijvoorbeeld al ruim 400 certificaten uitgegeven waarbij ‘PayPal’ in de domeinnaam voorkomt. Het aanvragen van een Let’s Encrypt-certificaat voor appleappstore.eu en googleplaystore.eu is dan ook geen enkel probleem. Overigens staat wel ter discussie of deze controle de verantwoordelijkheid is van certificaatuitgevers. Let’s Encrypt heeft hier een duidelijk standpunt over.
Google Chrome toont onveilige websites ook als veilig
Sinds de laatste update van Chrome toont de browser een cirkeltje met daarin een ‘i’ dat aangeeft dat de verbinding niet veilig is, bij het ontbreken van https:// op webpagina’s met invulvelden. Waarschijnlijk wordt dit op termijn een meer opvallende ‘Unsecure’ waarschuwing. Als er wel een beveiligde verbinding is toont de browser ‘Secure’ (of ‘Veilig’, afhankelijk van de taalinstellingen) in het groen, wat erg veel lijkt op de groene adresbalk van het EV-certificaat. Voor het tonen van de secure melding wordt echter geen onderscheid gemaakt tussen de gratis verkrijgbare en nauwelijks gecontroleerde domeinvalidatiecertificaten en de wél gecontroleerde certificaten met bedrijfsgegevens.
Overheden en banken hebben via diverse campagnes websitebezoekers geleerd te letten op de groene adresbalk als kenmerk van een veilige website. De groene ‘Secure’-melding wekt de indruk dat het om een betrouwbare site van een gecontroleerde organisatie gaat, terwijl in de praktijk alleen de controle over het domein is gecontroleerd. Secure betekent hier dus alleen dat er een foutloze HTTPS-verbinding aanwezig is, het zegt niets over de organisatie achter de website. Het wijzigen van de security indicators was juist bedoeld om bezoekers meer duidelijkheid te geven, maar geeft op deze manier een verkeerde indruk van veiligheid.
Meer aandacht voor high-risk domeinen
Uiteraard zijn het niet alleen de certificaatuitgevers die een rol spelen in het voorkomen van phishingsites: registrars zouden eventueel kunnen letten op welke domeinen ze verkopen, browsers zouden (beter) kunnen controleren op SSL-certificaten die na misbruik of vermoeden van fraude door een CA ingetrokken zijn. Websitebezoekers kunnen een bijdrage leveren door phishingwebsites door te geven aan blocklists van browsers.
Maar hoe dan wel?
In een ideale wereld bekijkt een bezoeker iedere website kritisch: wat is de volledige URL, ken ik de website en de organisatie erachter, zijn er NAW-gegevens, voorwaarden en contactmogelijkheden aanwezig? Komt de organisatienaam in het SSL-certificaat overeen met de inhoud van de website, en vertrouw ik deze organisatie met mijn gegevens?
In de praktijk blijkt dit echter niet haalbaar. Dat Google het gebruik van HTTPS stimuleert en het duidelijker wil maken voor gebruikers is een positieve ontwikkeling. De ‘Onveilig’-waarschuwing bij onbeveiligde invulvelden is hierin een waardevolle stap voorwaarts. We moeten alleen uitkijken dat het geen schijnveiligheid gaat bieden omdat de aanduiding ‘Veilig’ in veel gevallen niets zegt over de organisatie. Een simpele oplossing zou het aanpassen van de melding zijn: bijvoorbeeld ‘Verbinding veilig, identiteit niet bekend’ bij DV-certificaten en bij Extended Validation-certificaten met bedrijfsgegevens ‘Verbinding veilig, identiteit organisatie gecontroleerd’. Dán weet je als bezoeker zeker naar wie je je persoonlijke informatie verstuurt.
Deze maand heeft Google de weergave van HTTPS-verbindingen in Google Chrome gewijzigd. Het doel hiervan is het begrijpelijker maken van een beveiligde verbinding voor websitebezoekers. Omdat hierbij geen onderscheid wordt gemaakt tussen de niveaus van SSL-certificaten toont de browser ook ‘Secure’ als een phishingsite met kwade bedoelingen een SSL-certificaat heeft. Wat kunnen we hieraan doen?
Naar een volledig versleuteld internet
Onder andere Google is al geruime tijd bezig met het stimuleren van het gebruik van SSL-certificaten omdat dat leidt tot een veiliger internet. Zo neemt Google sinds enkele jaren het gebruik van HTTPS op de website al mee als rankingfactor in de Google zoekresultaten, en ze nemen vaak het voortouw bij het ontmoedigen van het gebruik van verouderde certificaten. Ook Mozilla Firefox gaat op korte termijn waarschuwen bij webpagina’s met onveilige invulvelden. Sinds kort is de meerderheid van alle webpagina’s via HTTPS bereikbaar, en het gebruik van HTTPS neemt continu toe. Mede dankzij de gratis certificaten van Let’s Encrypt is het aantal domein gevalideerde (DV) certificaten op dit moment 12,2 miljoen. Ter vergelijking: in januari 2016 was dit nog 3,2 miljoen.
Organisaties achter websites niet gecontroleerd
“Dat is toch positief?” zullen velen denken. Absoluut, maar het heeft ook een keerzijde: kwaadwillenden profiteren óók van de betere bereikbaarheid van goedkope of zelfs gratis DV SSL-certificaten. Voor de uitgifte wordt hiervoor alleen gecheckt of de aanvrager toegang heeft tot het domein waarvoor een certificaat wordt aangevraagd. Dit zegt dus niets over de organisatie achter de website.
In 2005 is als reactie op de wildgroei van beperkt gecontroleerde DV-certificaten het Extended Validation-certificaat geïntroduceerd: een voor bezoekers aan de groene adresbalk duidelijk herkenbare hoge standaard van strenge controles. De insteek hierbij is dat een gebruiker niet alleen kan zien dat er een veilige verbinding is, maar ook met wie deze verbinding is. De lange levertijd en strenge voorschriften hebben echter ook gezorgd voor een moeilijk imago bij velen. De groei van het gebruik van EV-certificaten blijft dan ook achter, al is er wel een groei van 14% gemeten over het afgelopen jaar. In Nederland blijkt uit onderzoek dat slechts 0,3% van alle zakelijke websites, en 3,3% van alle webshops EV-certificaten gebruiken.
Domeinen niet gecontroleerd
DV certificaten worden niet handmatig gecheckt. Commerciële certificaatuitgevers werken met een systeem dat waarschuwt bij high-risk domeinen (bijvoorbeeld een domein dat erg lijkt op een populair domein zoals PayPal.com). Op dat moment wordt er een handmatige check gedaan. Voor gratis certificaatdiensten is zo’n handmatige check niet haalbaar. Let’s Encrypt heeft bijvoorbeeld al ruim 400 certificaten uitgegeven waarbij ‘PayPal’ in de domeinnaam voorkomt. Het aanvragen van een Let’s Encrypt-certificaat voor appleappstore.eu en googleplaystore.eu is dan ook geen enkel probleem. Overigens staat wel ter discussie of deze controle de verantwoordelijkheid is van certificaatuitgevers. Let’s Encrypt heeft hier een duidelijk standpunt over.
Google Chrome toont onveilige websites ook als veilig
Sinds de laatste update van Chrome toont de browser een cirkeltje met daarin een ‘i’ dat aangeeft dat de verbinding niet veilig is, bij het ontbreken van https:// op webpagina’s met invulvelden. Waarschijnlijk wordt dit op termijn een meer opvallende ‘Unsecure’ waarschuwing. Als er wel een beveiligde verbinding is toont de browser ‘Secure’ (of ‘Veilig’, afhankelijk van de taalinstellingen) in het groen, wat erg veel lijkt op de groene adresbalk van het EV-certificaat. Voor het tonen van de secure melding wordt echter geen onderscheid gemaakt tussen de gratis verkrijgbare en nauwelijks gecontroleerde domeinvalidatiecertificaten en de wél gecontroleerde certificaten met bedrijfsgegevens.
Overheden en banken hebben via diverse campagnes websitebezoekers geleerd te letten op de groene adresbalk als kenmerk van een veilige website. De groene ‘Secure’-melding wekt de indruk dat het om een betrouwbare site van een gecontroleerde organisatie gaat, terwijl in de praktijk alleen de controle over het domein is gecontroleerd. Secure betekent hier dus alleen dat er een foutloze HTTPS-verbinding aanwezig is, het zegt niets over de organisatie achter de website. Het wijzigen van de security indicators was juist bedoeld om bezoekers meer duidelijkheid te geven, maar geeft op deze manier een verkeerde indruk van veiligheid.
Meer aandacht voor high-risk domeinen
Uiteraard zijn het niet alleen de certificaatuitgevers die een rol spelen in het voorkomen van phishingsites: registrars zouden eventueel kunnen letten op welke domeinen ze verkopen, browsers zouden (beter) kunnen controleren op SSL-certificaten die na misbruik of vermoeden van fraude door een CA ingetrokken zijn. Websitebezoekers kunnen een bijdrage leveren door phishingwebsites door te geven aan blocklists van browsers.
Maar hoe dan wel?
In een ideale wereld bekijkt een bezoeker iedere website kritisch: wat is de volledige URL, ken ik de website en de organisatie erachter, zijn er NAW-gegevens, voorwaarden en contactmogelijkheden aanwezig? Komt de organisatienaam in het SSL-certificaat overeen met de inhoud van de website, en vertrouw ik deze organisatie met mijn gegevens?
In de praktijk blijkt dit echter niet haalbaar. Dat Google het gebruik van HTTPS stimuleert en het duidelijker wil maken voor gebruikers is een positieve ontwikkeling. De ‘Onveilig’-waarschuwing bij onbeveiligde invulvelden is hierin een waardevolle stap voorwaarts. We moeten alleen uitkijken dat het geen schijnveiligheid gaat bieden omdat de aanduiding ‘Veilig’ in veel gevallen niets zegt over de organisatie. Een simpele oplossing zou het aanpassen van de melding zijn: bijvoorbeeld ‘Verbinding veilig, identiteit niet bekend’ bij DV-certificaten en bij Extended Validation-certificaten met bedrijfsgegevens ‘Verbinding veilig, identiteit organisatie gecontroleerd’. Dán weet je als bezoeker zeker naar wie je je persoonlijke informatie verstuurt.