Nieuwe browser beschouwt helft SSL-sites als onveilig
Volgens een veilige versie van Google Chrome is de helft van alle SSL-sites onveilig. In februari lanceerde Comodo de Comodo Dragon browser, gebaseerd op Google's Chrome. Veiligheid en privacy staan in de browser voorop. Het waarschuwt met name voor SSL-sites die niet door een vertrouwde derde partij zijn gevalideerd. Gebruikers krijgen dan de optie om door te gaan of te stoppen.
Het probleem is dat de waarschuwing bij domeinnaam gevalideerde SSL-certificaten wordt gegeven. Meer dan de helft van alle SSL-certificaten op het web valt hieronder en het aantal groeit vanwege de lage kosten sterk. Dit soort certificaten is veel goedkoper dan extended validation certificaten. Het afgeven van de waarschuwing kan dan ook een gigantische impact op e-commerce hebben, aldus internetbedrijf Netcraft. Geen enkele populaire browser waarschuwt op dit moment de gebruiker voor domeinnaam gevalideerde SSL-certificaten en het zou volgens Netcraft ook voor veel protesten zorgen als ze dit wel zouden doen.
Problemen
Een ander punt van kritiek is dat Comodo beweert dat veel kwaadaardige websites domeinnaam gevalideerde SSL-certificaten gebruiken, maar uit eigen onderzoek blijkt dit niet zo te zijn. Volgens de phishingsite feed van het internetbedrijf gebruikt slechts 0,3% van de gerapporteerde phishingssites HTTPS, waaronder die sites die op een gehackte server draaien waar al een SSL-certificaat aanwezig is. "Er is geen twijfel dat het aantasten van het vertrouwen in domeinnaam gevalideerde SSL-certificaten voor problemen zal zorgen", zegt Paul Mutton van Netcraft. Veel Amerikaanse banken gebruiken ze namelijk ook.
Ik zie het probleem niet. Een bank moet bij zichzelf te rade gaan indien deze hierdoor problemen ondervindt. Waarom zou een bank geen gebruik maken van extended validation certificaten, en is het eigenlijk niet volledig terecht om financiele instellingen die niet bereid zijn om daar gebruik van te maken als onveilig te bestempelen ?
Daarnaast bieden de meeste Amerikaanse banking websites single factor authenticatie zonder aanvullende maatregelen, wat eveneens zorgt voor een onveilige dienst, welke erg vatbaar is voor misbruik t.g.v. malware, keyloggers en banking trojans.
Wellicht dat het vertrouwen wordt aangetast - maar dat hebben de Amerikaanse banken primair aan zichzelf te danken, aangezien zij niet bereid zijn om (voldoende) te investeren in de veiligheid van hun systemen.
De verkeerde vraag - de vraag is niet waarom niet maar waarom wél? Omdat de controles op de CA betrouwbaarder zijn? Hoe controleer je dat - de ene stapel papier tegen de andere houden helpt niet, hoor.
En de verkoopmethode riekt toch vooral naar chantage - is het niet in je opgekomen dat mensen het niet prettig vinden iets aangesmeerd te krijgen als 'koop ons ding, want anders gaan wij de hele wereld roepen dat jij slecht bent"...
Wie rept er dan nog overeen SSL dat onbetrouwbaar zou zijn. Overigens Google is als verlengstuk van de Amerikaanse overheid, de schaduw overheid ook nog eens niet de betrouwbaarste bron voor dit soort informatie aangezien de In-Q Tel de investerings maatschappij van de CIA en NSA de grootste aandeelhouders en venture capital providers zijn voor Google en dus Chrome en daarmee indirect voor Firefox. Leuk is dat, de overheid die toch op deze wijze volledig met je meekijkt over je schouders.
Want laten we eerlijk zijn, U heeft toch niets te verbergen behalve uw pincode ?!!!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.