Nieuws
image

HTTP Strict Transport Security wordt webstandaard

donderdag 22 november 2012, 11:25 door Redactie, 5 reacties

Een maatregel die internetgebruikers tegen man-in-the-middle-aanvallen moet beschermen wordt een webstandaard. Het gaat om HTTP Strict Transport Security (HSTS), dat ervoor zorgt dat voor elke request van een browser die het ondersteunt, een HTTPS-verbinding wordt gebruikt in plaats van de standaard door de browser geprefereerde HTTP-verbinding.

Ook al stuurt een HTTP-website gebruikers door naar de HTTPS-versie, eerst is er verbinding gemaakt met de HTTP-versie, wat voor een man-in-the-middle-aanval is te misbruiken. HSTS moet dit voorkomen. Google Chrome en Firefox ondersteunen de functie en beschikken over een lijst van websites waar HSTS voor werkt. Het gaat dan om websites van Google, Paypal, Lastpass, Tor en Twitter.

De Internet Engineering Task Force (IETF) heeft nu een Request for Comments (RFC) gepubliceerd, waarin HSTS formeel als standaardprotocol voor het beveiligen van HTTPS wordt aangekondigd.

Reacties (5)
22-11-2012, 14:10 door Anoniem
Hoe doen we dat nu met internet taps... krijgt het KLPD etc nu ook de certs om deze sessies uit te lezen?
22-11-2012, 16:03 door Anoniem
Door Anoniem: Hoe doen we dat nu met internet taps... krijgt het KLPD etc nu ook de certs om deze sessies uit te lezen?

De Staat der Nederlanden heeft al een rootcert in je browser zitten dus als het KLPD een cert nodig heeft dan kunnen ze die genereren en daar laten signen.
Je merkt dan alleen wat als je een certpatrol oid hebt draaien.
22-11-2012, 16:32 door Anoniem
Door Anoniem: Hoe doen we dat nu met internet taps... krijgt het KLPD etc nu ook de certs om deze sessies uit te lezen?
Nee, die moet je achteraf opleveren met behulp van opstelten zijn decryptiebevel. Heb je de sessiesleutel al weggegooit? In dat geval krijg je een boete en omdat dan kunnen wij gelijk aannemen dat jij allemaal illegale dingen deed. (waarom zou je anders een key weggooien?)
22-11-2012, 16:42 door Anoniem
We hadden allang HTTPS; dit is gewoon een extra HTTP header die zegt: HTTP requests verboden, dit is HTTPS terrority only :) Verandert voor de KLPD dus niet ...
23-11-2012, 11:27 door Anoniem
True, maar kan me indenken dat niet elke cert door het KLPD is uit te lezen/generen....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search