Security Tip van de Week: SSL check met Certificate Patrol
In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.
Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.
Deze week de tip van Richard van den Berg
Controleer de websitecertificaten
Ik ben een voorzichtige computergebruiker. Of tenminste, dat probeer ik te zijn. Als ik even snel iets op wil zoeken, of even een E-mailtje wil sturen zit ik dan ook echt niet te wachten op pop-ups of knipperende/springende icoontjes die om mijn aandacht vragen. Toch gebeurt dat regelmatig. Even die update installeren, bevestigen dat dit programma inderdaad verbinding mag maken met internet, en tegenwoordig ook accepteren dat die site een cookie mag plaatsen op mijn PC.
Ook als ik geen haast heb dringt de erg menselijke neiging zich op om maar snel op “Ok” te klikken. Maar als voorzichtige computergebruiker (en IT beveiligingsconsultant) onderdruk ik dat, en denk ik even goed na wat ik aan het doen ben. Wat voor gevolgen heeft deze muisklik voor mijn systeem? Waar geef ik eigenlijk toestemming voor? Is dit een goede beslissing? Hoeveel werk is het om later terug te komen op deze beslissing?
Vandaar ook dat ik soms tools installeer die het aantal pop-up en weg-klik momenten drastisch vergroten. Zo draai ik al jaren (het hopelijk bij iedereen hier bekende) NoScript. In het begin was dit inderdaad af en toe klikken, maar veel sites deden het in 2006 ook prima zonder javascript. Dat is nu wel anders, en sinds ik de wat minder paranoïde “Standaard top-level sites tijdelijk toestaan”- optie aan heb staan valt het klikken om een site werkend te krijgen eigenlijk best wel mee.
Diginotar
Al voor het Diginotar debacle zat het hele website PKI-model me niet lekker. De EFF SSL Observatory heeft berekend moderne browsers zo’n 650 verschillende organisaties als Certificate Authority vertrouwen. Daar zitten bekende namen bij zoals Verisign, Thawte, GoDaddy en natuurlijk de Staat der Nederlanden, maar ook iets minder betrouwbare partijen zoals Comodo en CNNIC. Die laatste is inderdaad de officiële registrar van het .cn domein. Dus de Stichting Internet Domeinregistratie van China, zeg maar. Alleen is het daar geen stichting, maar een door de People's Republic of China gerunde operatie. Dus in dit geval is het meer te vergelijken met de Staat der Nederlanden CA, maar dan van China dus. Het bizarre van het website PKI-model is dat je browser slechts controleert of een geldig certificaat van een van die 650 CA’s wordt aangeboden door de site. Als dat het geval is wordt de verbinding als vertrouwd beschouwd. Ook als het certificaat voor https://mijn.belastingdienst.nl/ opeens gesigned is door CNNIC in plaats van Verisign. Dit besef heeft tot een aantal voorstellen tot verbetering geleid.
DNS-based Authentication of Named Entities (DANE) is een interessante oplossing waarbij een websitebeheerder het SSL-certificaat via DNS kan aanbieden. De webbrowser controleert het certificaat ontvangen via HTTPS met dat ontvangen via DNS. Matchen die niet, dan is er iets aan de hand. Als de DNS voor het domein beveiligd is met DNSSEC wordt het voor een aanvaller erg lastig om zowel het certificaat op een (nep) website als in de DNS aan te passen.
Moxie Marlinspike maakte Convergence, waarbij certificaten niet in de centrale CA-database van de browser worden gecontroleerd, maar ook naar centrale “notaries” worden gestuurd om te kijken of het certificaat dat jij ziet ook door andere internetters is gezien. Als blijkt dat jij een websitecertificaat ziet dat nog niemand anders heeft gezien, is er waarschijnlijk iets aan de hand.
DNSSEC (en daardoor DANE) wordt nog niet genoeg gebruikt en ondersteund om nu al een werkbare oplossing te bieden. Met Convergence stuur je de certificaten van alle HTTPS sites die je bezoekt naar een notary, en dat bevalt me qua privacy niet zo. Vandaar dat ik de Certificate Patrol addon voor Firefox gebruik. Deze oplossing controleert bij elke SSL-verbinding die je browser maakt of het certificaat nog hetzelfde is als de vorige keer dat je de site bezocht. Als een aanvaller je een certificaat van een gehackte CA voorschotelt, zal de addon daar alarm over slaan. Deze oplossing werkt niet voor alle sites even goed. Zo heeft Google voor zijn sites meerdere SSL-certificaten in gebruik. Certificate Patrol geeft dan continue pop-ups met de mededeling dat het certificaat is veranderd, terwijl het oude certificaat nog lang niet verlopen is. Er zit een optie bij om voortaan voor deze site alleen de CA te controleren:
Zo gebruik ik deze addon nu ruim een jaar, waarbij de pop-ups allemaal false positives waren. Tot vandaag. Tijdens het internetbankieren verscheen opeens de pop-up met de melding dat het certificaat voor bankieren.rabobank.nl was vernieuwd terwijl het oude certificaat nog 9 maanden geldig was:
Werd ik aangevallen? Zat er iemand mee te luisteren op de lijn? Het nieuwe certificaat was dan wel (net als het oude) uitgegeven door Verisign, echt vertrouwen deed ik het niet. Ik belde de helpdesk, en die stelde me een aantal vragen over slotjes en groene adresbalken. Maar op de vraag of er inderdaad vandaag een certificaat was vernieuwd kreeg ik geen antwoord. Na aandringen werd er toch even nagevraagd bij de specialisten wat er aan de hand kon zijn. Het blijkt dat de Rabobank meerdere datacenters heeft (logisch), en dat elk datacenter eigen certificaten gebruikt. Dat is wel te verklaren als ze de certificaten opslaan in een HSM, maar het is erg onhandig voor voorzichtige computergebruikers zoals ik.
Richard van den Berg is zelfstandig IT-consultant. Via zijn bedrijf Mount Knowledge adviseert hij grote bedrijven en organisaties op het gebied van IT-beveiliging.
Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.
Ook hiermee kan via een check by notary servers gecontroleerd worden of een certificate 'bekend'/OK danwel 'onbekend'/niet OK is.
Een initiatief van onderzoekers van Carnegie Mellon University.
Perspectives link; --http://perspectives-project.org/ --
Overigens, wanneer gaat security.nl zijn eigen certificaat eens corrigeren?
De eindeloze meldingen die CP/Perspectives/Chromium/etc afgeven over de mismatch over de geregistreerde secure.security.nl in 't certificaat, is al een flinke tijd niet geregeld....
In Chromium ziet zo'n dikke rode streep door 'https' in de adresbalk er weinig vertrouwenwekkend uit.
Net zomin als de 'possible attack'/ certificate mismatch etc meldingen.
[admin] Google Chrome geeft hier een volledig groen slot weer op de frontpage. Als je een artikel opvraagt verschijnt er een mixed content melding, omdat afbeeldingen van http afkomstig zijn [/admin]
Geen aanrader dus.
Het vinkje waarmee je de google meldingen zou moeten kunnen onderdrukken dat werkt niet.
Bij het bezoek aan de frontpage, krijg je met Firefox en Chromium het volgende (afhankelijk van de gekozen browser instellingen)
Firefox 16.0.2 geeft aan (met onder 'Preferences/Security/Block reported web forgeries' aangevinkt);
Certificate Status; This site attempts to identify itself with invalid information.
Wrong site: Certificate belongs to a different site, which could indicte identity theft
Chromium 20.0.1132.47 geeft meteen de melding;
This is probably not the site you are looking for!
You attempted to reach www.security.nl but instead you actually reached a server identifying itself as secure.security.nl.
This maybe caused by a misconfiguration on the server or something more serious.
An attacker on your network could be trying to get you to visit a fake (and potentially harmful) version of www.security.nl
You should not proceed, especially if you have never seen this warning before for this site
Dan worden de opties 'Proceed anyway' en 'Back to safety' geboden.
(In de tabtekst staat als tekst 'SSL error')
Kies je er voor om verder te klikken naar een artikel, dan krijg je dan pas de waarschuwing 'This page has insecure content'; de mixed content melding die je zelf al benoemde.
De laatste melding staat dus los van de security.nl/secure.security.nl mismatch in jullie certificaat imho.
mvg, baserk
Euh... Perspectives bestond eerst en toen dacht Marlinspike dat kan nog beter en toen hadden we Convergence.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.