SSL-leverancier Networking4all waarschuwde onlangs dat tal van overheidssites geen SSL-certificaat gebruiken, maar volgens Eric Verheul, professor in de Security of Systems groep aan de Radboud Universiteit Nijmegen, is de website van het bedrijf zelf ook onveilig. Het bericht haalde overal de media en zorgde ervoor dat de PVV zelfs kamervragen ging stellen. Er werd zelfs een speciale site geopend waar gebruikers de "veiligheid" van een website kunnen controleren. Veel websites scoren als niet ‘veilig’ op basis van één van de testen die het bedrijf aangeeft met ‘Geen verbindings upgrade naar 128-bit voor oude browsers’. "Met de genoemde Networking4all test wordt gecontroleerd of de website in kwestie ‘sterke’ cryptografie ondersteunt in de hypothetische situatie dat een internet browser wordt gebruikt die uit de jaren ’90 van de vorige eeuw komt", stelt Verheul.

Hij noemt het merkwaardig, aangezien gebruikers van dit soort browser grotere problemen hebben dan de aanwezigheid van een SSL-certificaat. "Het is alsof je een leger afkeurt omdat ze niet goed weten hoe ze met pre-historische wapens moeten omgaan. Om op basis van deze test een website als niet veilig te verklaren lijkt mij niet redelijk."

Verheul noemt het nog ernstiger dat de test van de 'SSL-boer' helemaal niet juist is. "Wat mijns inziens namelijk getest moet worden is of de site in kwestie überhaupt zwakke cryptografie toelaat en niet of deze middels een upgrade van zwakke naar sterke versleuteling mogelijk maakt." Sites die voor de upgrade test slagen, kunnen de gebruiker toch nog van een zwak beveiligde verbinding voorzien., omdat de webbrowser een te lage SSL beveiliging instelling heeft toegepast.

Browser
De onderzoeker verklaart dat voordat de SSL sessie tot stand komt, de client (browser) aan de webserver een lijst doorgeeft met de cryptografische protocollen die hij allemaal ondersteunt. De webserver kiest dan vervolgens de ‘sterkste’ cryptografie die de client aangeeft te kunnen ondersteunen én die hij zelf ook ondersteunt. Als de server bijvoorbeeld ‘AES128-SHA’ ondersteunt en EXP-RC4-MD5 (40 bits RC4) dan zal de server gebruik gaan maken van AES128-SHA in het voorbeeld. "De praktijk is overigens dat de internet browser niet zo kieskeurig is en alles behalve geen versleuteling (‘NULL’) accepteert."

Volgen Verheul gaat het om wat de SSL server accepteert. "In de server SSL configuratie kan (en mijn inziens moet) de beheerder minimale eisen hebben ingesteld: als de internet browser aan de minimale eisen van de webserver kan voldoen, wordt er geen SSL tunnel opgebouwd. Of in andere woorden: de gebruiker kan dan geen gebruik maken van de applicatie." Als de webserver namelijk alles accepteert, op geen versleuteling na, zal die ook met een 40 bits versleuteling akkoord gaan als die is ingesteld. "Een dergelijke instelling kan een (vreemde) configuratiefout zijn maar kan ook een ‘aanval’ van een tegenstander zijn. De tegenstander is op die manier toch in staat de ‘versleutelde’ SSL verbindingen toch te lezen; terwijl de gebruiker toch steeds ‘gele SSL slotjes’ ziet."

Oplossing
Beheerders krijgen dan ook het advies om geen 40 bits versleuteling te ondersteunen op webservers waar zich enigszins gevoelige informatie op bevindt. "Mijn suggestie zou daarbij zijn om als minimale SSL webserver eisen AES (128 bits) of Triple DES (168 bits) voor de vertrouwelijkheid gecombineerd met SHA-1 voor de authenticatie/integriteit te hanteren. Dit zijn instellingen waar de grootbanken ook mee werken, dus dat lijkt mij een indicatie dat dit geen aanleiding geeft tot veel gebruikersklachten (en helpdesk calls). Het gebruik van 128 bit RC2 of RC4 lijkt me niet (meer) verstandig."

Update 17:24
Paul van Brouwershaven laat in een reactie tegenover Security.nl het volgende weten: "Wij vinden het uiterst vervelend dat de heer Verheul beweert dat Networking4all sites die niet gebruik maken van SGC als onveilig betiteld. Dat is dus pertinent niet waar. Wij beweren dat niet en zullen dat ook nooit beweren. Nergens is bij ons te vinden dat Networking4all sites die geen SGC certificaat hebben als onveilig bestempeld.

Als het gaat om de veiligheid van een site zouden wij er altijd voor opteren alle mogelijke twijfel in deze volledig uit te sluiten. Rekening houdende met ‘Backwards Compatability’ vinden wij een certificaat met SGC dus een pluspunt! Daarbij is het zeker verstandig 40-bit te blokkeren. Die 40-bit versleuteling was nog te connecteren op onze site. Met zijn opmerking in deze zijn wij blij. We hebben dit dan ook binnen enkele minuten opgelost en deze lage versleuteling op de server uitgeschakeld."