Nieuws
image

SSL-waarschuwingen massaal genegeerd

donderdag 11 juli 2013, 12:51 door Redactie, 7 reacties

Waarschuwingen die de browser geeft over malware- en phishingsites worden door de meeste gebruikers netjes opgevolgd, maar als het gaat om waarschuwingen over SSL-certificaten is dat een geheel ander verhaal. Dat blijkt uit een onderzoek van Devdatta Akhawe van de Universiteit van Californië Berkeley en Adrienne Porter Felt van Google naar 25 miljoen browserwaarschuwingen.

De waarschuwingen waren afkomstig van Mozilla Firefox en Google Chrome. In het geval Firefox voor een malware- of phishingsite waarschuwde en adviseerde om de website niet te bezoeken, werd dit advies door 90% van de gebruikers opgevolgd. Tien procent besloot de websites ondanks de waarschuwing toch te openen.

In het geval van Google Chrome werden de waarschuwingen over de malware- en phishingsites door 75% van de gebruikers opgevolgd. Een kwart van de Chrome-gebruikers besloot de malware- en phishingsites toch te bezoeken.

SSL-waarschuwingen
Zo goed als gebruikers naar de malware- en phishingwaarschuwingen luisteren, zo slecht luisteren ze naar waarschuwingen over SSL-certificaten. 33% van de Firefox-gebruikers negeert waarschuwingen die aangeven dat er iets mis is met een SSL-certificaat. Bij Google Chrome gaat het zelfs om 70% van de gebruikers.

SSL-certificaten worden onder andere gebruikt voor het aanbieden van een HTTPS-verbinding op websites. Het certificaat laat een internetgebruiker de identiteit van de website controleren en zorgt ervoor dat gegevens versleuteld tussen zijn computer en de website worden verstuurd.

Een foutmelding kan bijvoorbeeld betekenen dat er een ongeldig of verlopen certificaat wordt aangeboden. Dit zou bijvoorbeeld kunnen betekenen dat er een man-of-the-middle-aanval wordt uitgevoerd.

Een reden dat gebruikers de SSL-waarschuwingen negeren heeft waarschijnlijk met 'waarschuwingsmoeheid' te maken. De onderzoekers pleiten er dan ook voor om het aantal waarschuwingen dat gebruikers te zien krijgen te beperken.

Gebruikers
Hoewel de waarschuwingen voor SSL-certificaten zeker in Google Chrome voor verbeteringen vatbaar zijn, werken browserwaarschuwingen wel, zo blijkt uit de resultaten bij de phishing- en malwaresites. "Dit laat zien dat veiligheidswaarschuwingen in de praktijk effectief kunnen zijn", zo concluderen de onderzoekers.

Die stellen verder dat zowel beveiligingsexperts als de mensen die systemen en software ontwikkelen ervoor moeten zorgen dat veiligheidsinformatie wel aan eindgebruikers wordt gecommuniceerd.

Reacties (7)
11-07-2013, 13:13 door Anoniem
Niet zo gek als je ziet hoeveel self signed certs in de praktijk gebruikt worden. De gebruiker leert dat je bij een dergelijke waarschuwing maar gewoon door moet klikken en past dat gedrag netjes toe op de rest van het internet.
11-07-2013, 13:33 door Nietsnut
Het verbaast mij niet echt deze cijfers de meeste gebruikers die ik spreek weten helemaal niet waar je het over hebt als je het over SSL-certificaten hebt vaak weten ze geeneens wat https:// betekent in de adres balk.
Is dat de schuld van de gebruikers ik zelf denk van niet omdat het een technische materie is die de gewone gebruiker al snel boven de pet groeit.
Al ben ik er ook wel mee eens dat zeker als je financiële transacties via de computer doet je wel MOET weten wat deze materie inhoud maar legt het even je oma van 80 uit vaak zijn deze mensen al blij dat ze de computer aan kunnen zetten en de basis dingen op een computer kunnen doen.
En vervolgens worden ze al lastig gevallen met allerlei updates van besturing en software dus deze mensen raken al snel gewend dat er gevraagd wordt of er software geïnstalleerd mag worden zonder de bron te checken want dat is vaak toch alleen maar een technisch verhaal waar zelfs de meer ervaren computer gebruiker al moeite mee hebt om te doorgronden wat er precies wordt gedaan.
Deze gebruikers raad ik dan ook af om dit soort financiële zaken op de computer te doen daar kan geen virusscanner en firewall tegen op al moet ik er wel bij zeggen dat het steeds moeilijker wordt gemaakt wordt om bankzaken niet online te regelen eigenlijk ook wel schandalig.

Oplossing ja breng een klein besturing programma uit op een beveiligde usb stick wat van iedere computer kan worden opgestart maak deze besturing geheel onafhankelijk van de host pc en maak het zo dat alleen bijvoorbeeld je online bankieren kan worden uitgevoerd en niks meer .
Ik weet zeker dat je daar een hele veilige oplossing voor kan maken
11-07-2013, 14:22 door Anoniem
"Waarschuwingen die de browser geeft over malware- en phishingsites worden door de meeste gebruikers netjes opgevolgd, maar als het gaat om waarschuwingen over SSL-certificaten is dat een geheel ander verhaal."

Net verbazingwekkend, als je kijkt hoe slecht er om gegaan wordt met SSL certificaten. Ik heb op mijn werk al zo vaak gehad dat certificaten niet meer geldig zijn en dergelijke. Hetzelfde gebeurt om de haverklap bij verder volstrekt legitieme websites doordat er te weinig aandacht aan de certificaten wordt besteed.

Is het dan erg raar dat veel gebruikers de meldingen negeren ? Met werk gerelateerde sites heb je al weinig keuze. Tenzij je principieel gaat weigeren om bijvoorbeeld webmail of een web based timesheet applicatie te gebruiken omdat het certificaat niet geldig is.

Ligt het probleem vooral bij de gebruikers, of bij de aanbieders van de websites ?
11-07-2013, 15:46 door Anoniem
Eerlijk gezegd op het gebied van ssl certificaten zijn er veel kleine bedrijfjes die niet op tijd hun ssl certificaten verlengen met als gevolg dat hun websites met ongeldige certificaten worden aangeboden.

Op tijd je certificaten verlengen !!!!!.
11-07-2013, 17:34 door Anoniem
Niet zo gek als je ziet hoeveel self signed certs in de praktijk gebruikt worden. De gebruiker leert dat je bij een dergelijke waarschuwing maar gewoon door moet klikken en past dat gedrag netjes toe op de rest van het internet.
Maar wie leert hun dat aan? Moet de browser dat makkelijk aanklikken niet ontmoedigen? Ik zelf ga altijd voor de initieel moeilijker weg door het certificaat te openen, te bekijken en dan toe te voegen aan mijn certificaten. Alleen de eerste keer is dat iets meer werk, maar dan blijft elke volgende pop-up van zo'n certificaat wel een waarschuwing.

Eerlijk gezegd op het gebied van ssl certificaten zijn er veel kleine bedrijfjes die niet op tijd hun ssl certificaten verlengen met als gevolg dat hun websites met ongeldige certificaten worden aangeboden.
Ook grote bedrijven hebben hier last van. Zo kon ik een half jaar geleden plots niet meer mailen omdat Ziggo zijn certificaat had laten verlopen. Binnen 12 uur na verloop hadden ze hem wel ge-update, maar amateuristisch was het wel. Ik heb die dag alles via de Google server verstuurt i.p.v. dat verlopen certificaat toch te vertrouwen.
11-07-2013, 21:53 door RichieB
Het grote verschil is dat als je een malware waarschuwing krijgt, je een groot risico loopt als je doorklikt, en bij SSL waarschuwingen niet. Lekker belangrijk dat die recepten site, een forum of nieuwssite iets niet op orde heeft met een SSL certificaat. Die meldingen klik ik ook gewoon weg. Als mijn internet bankieren site een SSL waarschuwing geeft ga ik echt niet verder, maar bel ik mijn bank. (Is me een keer overkomen.) Het hangt dus heel erg van de context af of dit gedrag van gebruikers leidt tot een echt risico.
12-07-2013, 09:49 door Anoniem
Maar aan de andere kant als je ziet hoeveel certificaten standaard door browsers en OS'en worden vertrouwd dan mag je ook afvragen of browser/OS makers het wel snappen. Check een willekeurig keystore eens voor de grap hoeveel vage CA's standaard vertrouwt worden, dat kan gewoon niet goed zijn. We vertrouwen al onze gegevens aan bedrijven toe alleen omdat ze een 'geldig' certificaat hebben en onze browser zegt dat het goed is. Maar hoeveel van die certificaten en bedrijven zijn eigenlijk echt te vertrouwen? Voor de leek is dat onmogelijk te doorgronden want kan deze een certicaat van bijvoorbeeld Turktrust nu wel of niet vertrouwen? Volgens de browser wel maar wij weten dat Turktrust een groot probleem heeft gehad met de uitgave van 'foute' certificaten. En zo zijn er nog veel meer van die vage CA's die standaard door browsers en OS'en worden vertrouwd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search