Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Lek: digid, mijn.overheid etc.!

09-04-2017, 17:19 door Erik van Straten, 34 reacties
Laatst bijgewerkt: 11-04-2017, 14:09
.
OPEN BRIEF AAN DE NEDERLANDSE OVERHEID

Inleiding
De beveiliging van alle overheidswebsites die gebruik maken van gewone PKIoverheid certificaten schiet m.i. ernstig tekort.

Het beveiligen van websites begint ermee dat elke bezoeker zeker kan weten dat haar webbrowser verbinding heeft met webserver van de bedoelde organisatie (en, indien van toepassing, van het bedoelde onderdeel van die organisatie). Met gewone PKIoverheid certificaten kan zij dat niet meer, in elk geval niet redelijkerwijs. Daarmee is het risico dat burgers vertrouwelijke gegevens (waaronder gebruikersnaam en wachtwoord, maar ook financiële en medische gegevens) afstaan aan nepsites (spoofing) m.i. veel te groot, en dat is nergens voor nodig. Daarom vind ik de overheid op dit punt nalatig.


Managementsamenvatting
De druk die de overheid op burgers uitoefent, om steeds meer gegevens digitaal met diezelfde overheid uit te wisselen, neem toe - terwijl ook cybercrime toeneemt. Daarbij kunnen, door allerlei omstandigheden, burgers echte overheidswebsites steeds minder goed onderscheiden van nepsites. Ook zijn overheidswebsites vaak onvoldoende veilig doordat zij gebruik maken van content vanaf andere, onveiliger, websites.

Om burgers overheidswebsites betrouwbaar te kunnen laten onderscheiden van nepsites, is het m.i. noodzakelijk dat:

- Alle https overheidswebsites ASAP gebruik gaan maken van EV (Extended Validation) certificaten. Indien PKIoverheid EV certificaten nog onvoldoende worden herkend door oudere besturingssystemen en webbrowsers, mag dat geen aanleiding zijn om de het gebruik van EV certificaten nog langer uit te stellen. Aangezien niemand nog certificaten inspecteert, kun je net zo goed breed ondersteunde commerciële EV certificaten gebruiken die wel oudere devices en/of besturingssystemen ondersteunen (i.p.v. gedwongen winkelnering middels PKIoverheid EV certificaten);

- De identificerende EV informatie op alle https overheidswebsites identiek is. Ik stel voor: "NL Overheid";

- Er een campagne komt die burgers volstrekt helder maakt hoe zij echte- van vervalste overheidswebsites kunnen onderscheiden, onder meer door erop te wijzen in welke webbrowsers de EV tekst "NL Overheid" zichtbaar hoort te zijn;

- Alle certificaatverstrekkers wereldwijd erop worden gewezen dat zij geen EV certificaten mogen verstrekken met daarin de EV tekst "NL Overheid" - tenzij zij daartoe geautoriseerd zijn, op z'n minst door RFC6844 Certification Authority Authorization (CAA) DNS records te publiceren;

- Certificate Transparency (CT) informatie in certificaten wordt opgenomen, o.a. om de support door Google Chrome te waarborgen.

Daarnaast adviseer ik overheden (bijv. de EU) om browsermakers te vragen om (of eventueel te dwingen) een meer consistente en betrouwbare gebruikersinterface te implementeren zodat burgers goed geïnformeerd kunnen worden.

Ten slotte moet er een verstandig overheidsbeleid komen voor Internet domeinnamen bij de overheid waarbij het, zowel voor burgers als voor certificaatverstrekkers, uit domeinnamen duidelijk blijkt dat het daarbij om een overheidswebsite gaat. Met name in het geval van, voor de gebruiker, onzichtbare domeinnamen in webbrowsers is dat essentieel, zodat certificaatverstrekkers niet per ongeluk certificaten voor valse sites verstrekken.

Voorbeeld: als ik https://mijn.overheid.nl/ open in mijn webbrowser, wordt ook content (o.a. mp4) geladen vanaf https://www.rovid.nl/. Als iemand een https certificaat aanvraagt voor een domeinnaam als www.rovid.nl, zal geen enkele certificaatverstrekker inzien dat het hier om een overheidswebsite gaat (en de aanvrager wellicht een cybercrimineel is). Die cybercrimineel kan, met dat certificaat en een nepsite, eenvoudig inbreken op bijv. publieke WiFi verbindingen, of door DNS instellingen in thuisrouters te wijzigen, en vervolgens bezoekers andere content voorschotelen binnen mijn.overheid.nl - waardoor die bezoekers er bijvoorbeeld toe verleid kunnen worden om op een nepsite, die op digid.nl lijkt, in te loggen.

Oplossing: overheidswebsites horen bij voorkeur content van slechts 1 domeinnaam op te halen. Als dat niet kan, dienen alle sites waarvan content gedownload wordt, subsites te zijn van de betreffende website (in het bovenstaande voorbeeld rovid.overheid.nl of iets dergelijks). Dat maakt het uitgeven van een certificaat door een certificaatuitgever voor een nepsite veel minder waarschijnlijk, vooral als de primaire website van een EV-certificaat is voorzien waaruit blijkt dat het om een Nederlandse overheidswebsite gaat.


Waarom burgers echte overheidswebsites niet meer van nepsites kunnen onderscheiden
Daar bestaan meerdere oorzaken voor, die elk (vaak onnodige) risico's introduceren:

(1) Geen evident onderscheid tussen domeinnamen van overheids- en niet-overheids websites
In tegenstelling tot in de USA en Engeland, kent Nederland geen domeinnaamextensie .gov.nl (of iets dergelijks) om overheidswebsites van andere soorten websites te onderscheiden. Op de een of andere manier moeten, zowel bezoekers als certificaatuitgevers, dus "weten" dat denhaag.nl de domeinnaam van een overheidswebsite is, en denhaag.eu, denhaag.org, denhaag.nu etc. allemaal niet. De reden dat certificaatuitgevers dit moet weten, is dat daarmee (hopelijk) wordt voorkomen dat zij een websitecertificaat uitgeven voor de overheidswebsite denhaag.nl aan iemand die niet geautoriseerd is om zo'n certificaat aan te vragen. Als zij dat zouden doen, is het een koud kunstje voor een cybercrimineel om een nepsite op te tuigen en, bijv. in een publiek WiFi netwerk, verbindingen te onderscheppen waarbij bezoekers zullen denken dat zij de echte overheidssite denhaag.nl bezoeken. In het geval van plaatsnamen zou je dat nog evident kunnen noemen, maar wat dan te denken van digid.nl en rovid.nl?

(2) PKIoverheid certificaten
Als kennelijke "oplossing" om bezoekers toch onderscheid te kunnen laten maken tussen websites van de overheid en websites van anderen, heeft de Nederlandse overheid "PKIoverheid" certificaten geïntroduceerd. De vermoedelijke aanname hierachter is dat, als je overheden verplicht om dergelijke certificaten te gebruiken en je daarbij een streng uitgiftebeleid hanteert, gebruikers slechts hoeven te controleren of de betreffende website over een PKIoverheid certificaat beschikt om zeker te weten dat zij een legitieme overheidswebsite bezoeken.
Deze, m.i. naïeve, aanname faalt om meerdere redenen:
a) Je sluit hiermee geenzins uit dat andere certificaatuitgevers certificaten uitgeven voor nep overheidswebsites, waarmee de authenticiteit valt en staat met de check door de bezoeker of de site over een PKIoverheid certificaat beschikt;
b) Doorsnee burgers onvoldoende begrijpen wat een https certificaat is en hoe het e.e.a. (waaronder de hiëarchie) werkt;
c) Doorsnee burgers helemaal niet weten wat een PKIoverheid certificaat is, dat zij dat zouden moeten weten, en hoe zij dat kunnen herkennen;
d) Doorsnee burgers helemaal niet weten dat alle https overheidswebsites een PKIoverheid certificaat moeten hebben (en anders nep zijn);
e) Als burgers b), c) en d) al weten, het steeds moeilijker voor ze wordt om certificaten inhoudelijk te inspecteren (daarover hieronder meer).

(3) Gewone PKIoverheid certificaten zijn geen EV (Extended Validation) certificaten
Waar banken, en en andere eigenaren van commerciële sites waar je op moet inloggen (zoals microsoftonline.com voor Office365) allang hebben ingezien dat uitsluitend een domeinnaam en een slotje onvoldoende zijn om een website betrouwbaar te authenticeren), gebruiken zelfs de meest kritische Nederlandse overheidswebsites nog steeds geen EV certificaten. Nb. bij een EV certificaat tonen webbrowsers, naast de domeinnaam, ook informatie over de eigenaar van dat domein, waarbij de certificaatuitgever relatief strenge controles uitvoeren of een aanvrager van een EV certificaat geautoriseerd is om die aanvraag in te dienen. Door het ontbreken van die "eigenaar" informatie bij gewone PKIoverheid certificaten, zijn overheidssites niet of nauwelijks van eventuele vervalsingen te onderscheiden. Voorwaarde voor het succes van EV certificaten is overigens wel dat gebruikers weten dat het (plotselinge) ontbreken van EV informatie, erop wijst dat zij met een nepsite te maken hebben. Een stuk "opvoeding" hierbij is dus noodzakelijk.

(4) Geen eenduidige, door gewone burgers, herkenbare naamgeving in de meeste PKIoverheid certificaten
Laten we er gemakshalve even vanuit gaan dat zorgzame burgers PKIoverheid certificaten wel inspecteren en weten hoe dat moet. Als ik het certificaat van bijvoorbeeld mijn.overheid.nl inspecteer, zie ik onder "Subject":
a) Common Name (CN): mijn.overheid.nl
b) Organization (O): Logius
c) Organizational Unit (OU): <Not Part Of Certificate>
Nb. de CN bevat de domeinnaam die de webbrowser verifieert en toont in de URL balk; interessant is hier dus alle additionele identificerende informatie. Aangezien de gemiddelde burger niet weet wie of wat "Logius" is, heeft zij hier helemaal niets aan! Erger, andere certificaatverstrekkers weten ook niet wie of wat "Logius" is en zullen, terecht, bereid zijn om een dergelijke tekst in een certificaat voor een nepsite op te nemen.
Daarentegen is de kans, dat een andere certificaatuitgever een vals certificaat met de volgende informatie erin verstrekt, veel kleiner en bovendien is zo'n certificaat veel duidelijker voor de burger die het inspecteert:
a) Common Name (CN): mijn.overheid.nl
b) Organization (O): Nederlandse Rijksoverheid
c) Organizational Unit (OU): Ministerie van binnenlandse zaken

(5) Inspectie van de hiërarchie is noodzakelijk
In het certificaat van mijn.overheid.nl staat verder dat deze is uitgegeven door:
a) Common Name (CN): KPN PKIoverheid Organisatie CA - G2
b) Organization (O): KPN B.V.
c) Organizational Unit (OU): <Not Part Of Certificate>
Tenzij je als burger weet dat KPN (een commercieel bedrijf) geautoriseerd is om PKIoverheid certificaten uit te geven, zul je naar de hiërarchie van de certificatenketen moeten kijken (je bent nu al heel wat klikken verwijderd van de pagina, als je al zover kunt komen en het allemaal snapt). Daar is de volgende "keten" te zien:
- Staat der Nederlanden Root CA - G2
- Staat der Nederlanden Organisatie CA - G2
- KPN PKIoverheid Organisatie CA - G2
- mijn.overheid.nl
Alleen als je begrijpt wat dit betekent, en je de browserfabrikant vertrouwt, zou je kunnen herleiden dat deze mijn.overheid.nl website kennelijk een legitiem "PKIoverheid" certificaat heeft en dus vermoedelijk "echt" is.

(6) Devaluatie van non-EV certificaten
Onder druk van de markt zijn sommige certificaatuitgevers ertoe overgegaan om certificaten uit te geven waarbij de identiteit van de aanvrager niet wordt gecontroleerd. Het enige dat bij de aanvraag van dergelijke Domain Validated (DV) certificaten nog wordt gecontoleerd is of de aanvrager, op dat moment, ofwel:
- toegang heeft tot een mailbox van een "beheer" account in het aangevraagde domein;
- in staat is een programmatje op een webserver met de gegeven domeinnaam te plaatsen dat, op een gegeven moment, een verwacht antwoord geeft.
M.a.w. als een ICT beheerder van de gemeente Rotterdam een zwak wachtwoord gebruikt op zijn e-mail account, kan een aanvaller certificaten voor *.rotterdam.nl aanvragen, en ook andere gedocumenteerde lekken voor de andere categorie zijn bekend. Duidelijk is dat dit soort (m.i. speelgoed-) certificaten ongeschikt zijn om kritische websites mee te authenticeren; het is voor aanvallers veel te eenvoudig om onterecht een certificaat te verkrijgen. Dit is zowel slecht voor het vertrouwen dat mensen in het algemeen stellen in certificaten (Google Chrome toont op nepsites ook de tekst "secure" en een slotje), als andere non-EV certificaten waarbij wel een min of meer uitgebreide authenticatie en autorisatiecheck van de aanvrager plaatsvindt - zoals bij PKIoverheid certificaten.

(7) Geen direct zichtbaar onderscheid tussen DV- (Domain Validated) en PKIoverheid certificaten in webbrowsers
Als je in een moderne webbrowser een https webpagina opent, is er geen verschil zichtbaar tussen een website met een DV certificaat en een website met een meer betrouwbaar, doch non-EV, certificaat. In beide gevallen ziet de surfer een (groen of grijs) slotje en de domeinnaam. Tenzij de gebruiker het certificaat inspecteert, weet zij niet of zij met een DV certificaat of met een ander non-EV certificaat, zoals PKIoverheid, te maken heeft.

(8) Inconsistente en wijzigende gebruikerinterfaces in webbrowsers
Het gebrek aan eenduidigheid tussen verschillende versies en "merken" van webbrowsers maakt het er allemaal niet eenvoudiger op. Bijvoorbeeld in Internet Explorer en Edge is het slotje niet groen en bij IE staat het slotje rechts van de URL terwijl Edge de URL inkort en de tekst "https" verwijdert.
Als ik mijn.overheid.nl in Firefox open en op het slotje klik, en vervolgens op het pijltje naar rechts, lees ik: "Verified by KPN B.V."; als ik hetzelfde doe in Internet Explorer, lees ik: "Staat der Nederlanden Root CA - G2 has identified this website as: mijn.overheid.nl". Hoe moet ik dit interpreteren? En vooral: wat moet ik doen als hier ineens "Quo Vadis" of zo staat?

(9) Vereenvoudiging van gebruikerinterfaces in webbrowsers
Vermoedelijk omdat zij hebben vastgesteld dat bijna niemand websitecertificaten inspecteert, maken fabrikanten van webbrowsers dat steeds lastiger. In de laatste PC versies van Google Chrome moet je een trucje kennen om een certificaat en de hiërarchie naar het rootcertificaat te kunnen verifiëren. Het is ondenkbaar dat de gemiddelde gebruiker dit doet.

(10) Portable devices
Fabrikanten van portable devices doen daar een schep bovenop: zelfs op tablets met een relatief groot scherm is het vaak niet meer mogelijk om certificaten te bekijken. Daarmee is het voor een bezoeker onmogelijk om te zien of de https site gebruik maakt van een DV-certificaat of een ander, non-EV, certificaat zoals PKIoverheid. Daardoor kunnen met name gebruikers van portable devices eenvoudig worden gefopt met nepsites.


Conclusie
Aangezien het aantal gebruikers van portable devices de laatste tijd snel is toegenomen, mag je er gewoonweg niet meer vanuit gaan dat gebruikers (PKIoverheid) certificaten inspecteren (al zouden ze dat begrijpen) - want dat kunnen ze technisch gewoon niet meer. Daarmee kunnen zij PKIoverheid certificaten niet meer van DV certificaten onderscheiden, met als gevolg dat een PKIoverheid certificaat net zo waardeloos is als een DV certificaat - die regelmatig onterecht aan cybercriminelen worden verstrekt (zie bijvoorbeeld [1] en [2]).

M.a.w. "gewone" PKIoverheid certificaten zijn achterhaald. De enige oplossing voor dit (m.i. grote) risico is dat overheidswebsites worden voorzien van eenduidige EV certificaten. Bij voorkeur zijn dat PKIoverheid EV certificaten. Als die certificaten, zoals ik in de management samenvatting schreef, op onvoldoende ondersteuning door oudere besturingssystemen (oudere Android versies bijvoorbeeld) en/of oudere webbrowsers kunnen rekenen, zou ik het een onverstandig en gevaarlijk besluit vinden om de toepassing daarvan nog langer uit te stellen. Gebruik dan maar breed ondersteunde commerciële EV certificaten i.p.v. PKIoverheid EV certificaten!

Voor alle maatregelen verwijs ik u naar de management samenvatting bovenaan dit artikel, enkele aanvullingen heb ik in de bijdrage direct hieronder opgenomen.

[1] https://www.security.nl/posting/509888/Let's+Encrypt+net+zo+onveilig+als+DNS
[2] https://www.security.nl/posting/509888/Let's+Encrypt+net+zo+onveilig+als+DNS#posting510166

Wijzigingen 10-04-2017, 12:15: Omdat ik uit enkele reacties opmaak dat ik dit kennelijk onvoldoende duidelijk gesteld heb (mijn intentie was juist niet om oudere devices uit te sluiten), heb ik de volgende tekst in de management samenvatting:
kun je net zo goed commerciële EV certificaten gebruiken;
vervangen door:
kun je net zo goed breed ondersteunde commerciële EV certificaten gebruiken die wel oudere devices en/of besturingssystemen ondersteunen (i.p.v. gedwongen winkelnering middels PKIoverheid EV certificaten);
En de tekst onderaan de conclusie:
Gebruik dan maar commerciële EV certificaten!
vervangen door:
Gebruik dan maar breed ondersteunde commerciële EV certificaten i.p.v. PKIoverheid EV certificaten!
Wijzigingen 11-04-2017, 14:09: Aanvullingen onder de managementsamenvatting, naast het tussenvoegen van enkele lege regels:
- Er een campagne komt ... onderscheiden;
vervangen door:
- Er een campagne komt ... onderscheiden, onder meer door erop te wijzen in welke webbrowsers de EV tekst "NL Overheid" zichtbaar hoort te zijn;
En:
- Alle certificaatverstrekkers wereldwijd ... zijn.
vervangen door:
- Alle certificaatverstrekkers wereldwijd ... zijn, op z'n minst door RFC6844 Certification Authority Authorization (CAA) DNS records te publiceren;
Alsmede een aanvulling:
- Certificate Transparency (CT) informatie in certificaten wordt opgenomen, o.a. om de support door Google Chrome te waarborgen.
Reacties (34)
09-04-2017, 17:19 door Erik van Straten
Aanvullingen

Risico spoofing bij content vanaf andere websites
In de management samenvatting noemde ik al content vanaf andere websites als ik surf naar bijvoorbeeld https://www.mijn.overheid.nl/. Dan wordt, in de achtergrond, ook content gedownload vanaf https://static.mijn.overheid.nl/ (prima) maar tevens van https://www.rovid.nl/ (die laatste site ondersteunt niet eens HSTS, maar in deze context vormt dat, denk ik, geen risico omdat de webbrowser om https content vraagt).

Het eerste probleem hierbij is dat de meeste surfers helemaal niet weten dat content vanaf andere websites wordt gedownload. Gelukkig waarschuwen moderne webbrowsers je tegenwoordig wel als dergelijke content via een niet versleutelde verbinding wordt gedownload, maar de authentiteit van de betrokken websites lijkt totaal irrelevant. Als je als gebruiker niet weet dat dit gebeurt, kun je ook geen certificaten controleren.

Daarnaast tonen webbrowsers gewoon EV certificaat informatie van de bezochte (primaire) site ook als in de achtergrond content wordt gedownload van sites die geen EV certificaat gebruiken. Als je het, als site eigenaar, nodig vindt dat content van andere websites gedownload wordt door de browser, zul jij je best moeten doen om ervoor te zorgen dat die sites niet vervalst kunnen worden (immers, de bezoeker weet hier niets van). Het beste dat je kunt doen is voorkomen dat certificaatuitgevers al te makkelijk certificaten voor nepsites uitgeven, en dat doe je natuurlijk niet door domeinnamen als rovid.nl te bedenken en te gebruiken - die gebruikers niet eens hoeven in te tikken en te herkennen! Wie verzint in vredesnaam domeinnamen als rovid.nl?

Kortom: met name als je een EV certificaat op mijn.overheid.nl zet, zorg dan dat naast content van die site, uitsluitend content van subsites wordt gedownload. Een certificaatverstrekker die niet snapt dat rovid.overheid.nl van overheid.nl (notabene met EV certificaat) is, mag je wat aanrekenen als zij een certificaat voor rovid.overheid.nl uitgeeft aan een niet geautoriseerd persoon, maar dat kun je niet als deze een certificaat uitgeeft voor rovid.nl.

Hoe werkt een https certificaat
De belangrijkste informatie in een https certificaat is:
a) De domeinnaam (zoals "mijn.overheid.nl");
b) Aanvullende informatie over de identiteit van de organisatie (leeg in DV certificaten, rommelig in PKIoverheid certificaten, verplicht in EV certificaten);
c) Public Key
d) Een digitale handtekening geplaatst door de certificaatuitgever

De (wereldwijd unieke) Public Key in het certificaat past uitsluitend bij een geheime Private Key die op de webserver staat. Middels een wiskundige truc (asymmetrische cryptografie) controleert de webbrowser, aan de hand van de Public Key uit het certificaat, dat de webserver over de bijbehorende Private Key beschikt. Als die Private Key uitsluitend op die ene webserver bekend is, weet de webbrowser zeker dat hij met de bedoelde server communiceert.

De digitale handtekening onder het certificaat, geplaatst door de certificaatuitgever, garandeert dat de andere gegevens bij elkaar horen. Die digitale handtekening zelf maakt ook gebruik van Public en Private Keys. Om precies te zijn zet de certificaatuitgever de handtekening gebruikmakend van diens (geheime) private key, en bewijst het bezit daarvan met een Public Key in een ander, zogenaamd signing certificaat.

Bij de volgende "trust" keten:
- Staat der Nederlanden Root CA - G2
- Staat der Nederlanden Organisatie CA - G2
- KPN PKIoverheid Organisatie CA - G2
- mijn.overheid.nl
zijn de eerste drie "signing" certificaten, en is validatie door de webbrowser alleen mogelijk indien het bovenste certificaat is meegeleverd met het besturingssysteem of de webbrowser, en de resterende certificaten door de webserver naar jouw browser worden gestuurd als je de website bezoekt.
09-04-2017, 17:59 door Anoniem
Is dit dv certificaat gebruik niet het gevolg van het door jouwzelf al lang geleden geconstateerde feit dat zonodig vele onveilige versies van android dienden te worden ondersteund? Ja, je weet het antwoord dus zelf allang.
Dan het nieuwe stokpaardje, je nieuwe oplossing is dat iedereen maar fors de buidel moet trekken voor security, dus alle aanbieders aan het EV certificaat maar dan ook alle gebruikers aan de nieuwste devices, kassa!
Maar dan moet het verkopen van devices die niet meer kunnen worden geüpdatet en geüpgraded ook breed worden verboden want je weet dat mensen niet vrijwillig krom zullen gaan liggen voor meer veiligheid bij bedachte mogelijke veiligheidsrisico's.

Weet je wat? Als de overheid nou eens zelf devices gaat aanbieden waarmee we zaken met haar kunnen doen.
Dan is het allemaal veilig en kan het verder voor van alles en nog wat worden gebruikt, bijvoorbeeld voor burgers volgen en tappen, en er hoeft dan ook niet meer gehackt te worden.

Maar als we het nou hebben over vertrouwen in relatie tot security, hoe kunnen we nou producten, inclusief (e.v.)certificaten (of zelfs gebruik van DNS dat ook te hacken en misbruiken valt) vertrouwen van een overheid die zich het recht toebedeelt om burgers naar eigen willekeur te hacken en te tappen?
In die zin is en blijft de boel altijd lek en daar helpt geen pki of certificaat tegen omdat het geen technische maar een politieke oplossing vereist.
Je klacht is dus aan dovemansoren gericht en daarom zijn ideële organisaties die opkomen voor burgerrechten zo belangrijk, maar daar heb je niets mee, die trap je graag de grond in als het je even uitkomt. Want je anti verhandelingen over dv certificaten zijn allemaal terug te voeren tot het moment dat ideële organisaties ze gratis begonnen aan te bieden, toen werd veiligheid ineens belangrijk.

Dat ruikt al heel lang meer als argumenten bedenken om commerciële handel te beschermen.
Dat valt al een hele tijd op bij steeds meer lezers hier, wat dat betreft krijg je de boemerang onontkoombaar vol terug in het eigen smoeltje.
Dat krijg je ervan, van selectief met argumenten en principes shoppen op verschillende onderwerpen.
Publiek poeha die tot niets leidt wanneer afgezet tegen je andere criteria uit eigen topicsuniversum.

Sommigen zouden het woord hypocriet gebruiken bij dit soort variabel engagement.
'Leuke' mooi opgemaakte zondagmiddagtijdsbesteding op een overbekend dubbel spoor: technische suprioriteit combineren met ego gehalte waar de doorzichtigheid vanaf druipt.
Vind het weer vandaag een stuk fraaier wat dat betreft.
09-04-2017, 18:47 door Anoniem
Ja laten we er een o zo betrouwbare Let's Encrypt-certificaatslaag overheen leggen, gegarandeerd door de EFF en andere idealistische naïevelingen.
09-04-2017, 21:52 door Anoniem
Het alternatief vanuit de markt heet iDiN, van banken die stellen dat hun persoonsidentificatie altijd op orde is omdat mensen zich bij hen moeten legitimeren èn daarbij hun fysieke adres moeten aantonen. Niet dat er nooit inbreuken zijn op de procedures bij de Burgerlijke Stand (uitzendkracht bij de gemeente Utrecht kon destijds zelf buiten alle procedures om mensen registreren, BSN-nummers en paspoorten toekennen ...) en er bij banken nooit gefraudeerd wordt .... Of dat met aan de ASN Bank of telecomproviders verstuurde gekopieerde ID-bewijzen nooit iets onregelmatigs gebeurt ...
09-04-2017, 22:41 door Erik van Straten
09-04-2017, 17:59 door Anoniem: [...] je nieuwe oplossing is dat iedereen maar fors de buidel moet trekken voor security, dus alle aanbieders aan het EV certificaat
Ik heb het over de overheid, waar zie jij "alle aanbieders"? En weet je wat een gewoon PKIoverheid certificaat ons belastingbetalers kost?

09-04-2017, 17:59 door Anoniem: maar dan ook alle gebruikers aan de nieuwste devices, kassa! [...] een overheid die zich het recht toebedeelt om burgers naar eigen willekeur te hacken en te tappen [...]
Je hebt duidelijk mijn bijdragen niet goed gelezen. En los van de tapbevoegdheden van onze overheid, zullen velen van ons toch belastingaangifte moeten doen, hun pensioenzaken willen regelen en ziektekosten kunnen declareren. En daarbij willen de meesten van ons niet dat die gegevens in handen van cybercriminelen vallen.

Mag ik je vragen mijn bijdragen nog eens goed te lezen, en als je dan nog kritiek hebt, die te leveren op basis van inhoudelijke argumenten? Want dergelijke kritiek stel ik zeer zeker wel op prijs.
09-04-2017, 23:03 door Ron625
Een tussenoplossing zou zijn, om de overheid als provider te laten werken voor de websites.
Dit kan met sub-domeinen, maar ook gewoon met (schijnbare) mappen.
Voorbeeld:
overheid.nl als centrale toegang,
overheid.nl/provincie/groningen als provinciale map van Groningen,
overheid.nl/gemeente/groningen als gemeentelijke map van Groningen.
enz.

Door zelf als centrale hoster te werken, kunnen er gigantische bedragen hiervoor worden bespaard.
Ook kunnen alle overheden met een identieke CMS werken, waardoor uitwisseling van gegevens, ervaring en personeel makkelijker wordt.
Maken ze ook nog de indeling (bijna) identiek, dan is het voor een buitenstaander veel makkelijker, om de juiste informatie te vinden, het is dan "net als thuis" :-).
10-04-2017, 00:00 door Anoniem
Amen
10-04-2017, 07:13 door karma4
[
Door Erik van Straten: Ik heb het over de overheid, waar zie jij "alle aanbieders"? En weet je wat een gewoon PKIoverheid certificaat ons belastingbetalers kost? ...
Hou het simpel de overheid doet het niet zelf, ze zijn opdrachtgever. Van alles wordt uitbesteed.
Dan kun je een heleboel over slechte invulling door de markt (de uitvoerders) hebben. Je kunt beter kijken naar het de invulling van de rol opdrachtgever wat daarmee faalt.
10-04-2017, 10:27 door Anoniem
Door Anoniem: Is dit dv certificaat gebruik niet het gevolg van het door jouwzelf al lang geleden geconstateerde feit dat zonodig vele onveilige versies van android dienden te worden ondersteund?
Dit is inderdaad het geval. Het ondersteunen van oudere maar nog veel gebruikte Android versies heeft momenteel de voorkeur.

Wat betreft het hosten van data op rovid.nl heb je een punt.
10-04-2017, 12:20 door Erik van Straten
10-04-2017, 10:27 door Anoniem:
Door Anoniem: Is dit dv certificaat gebruik niet het gevolg van het door jouwzelf al lang geleden geconstateerde feit dat zonodig vele onveilige versies van android dienden te worden ondersteund?
Dit is inderdaad het geval. Het ondersteunen van oudere maar nog veel gebruikte Android versies heeft momenteel de voorkeur.
Voor zover dat mogelijk is met EV certificaten ben ik het daarmee eens, en heb de tekst van mijn bovenste bijdrage dan ook aangepast op dat punt.

Aan de andere kant mag het niet zo zijn dat, omdat een beperkt aantal mensen met een oudere versie van whatever werkt, beveiliging van de massa daar maar onder moet leiden (anders hadden we nog steeds met SSLv1, MD5, DES en RSA 512bit sleutels gewerkt).
10-04-2017, 12:53 door Anoniem
Door Erik van Straten:
10-04-2017, 10:27 door Anoniem:
Door Anoniem: Is dit dv certificaat gebruik niet het gevolg van het door jouwzelf al lang geleden geconstateerde feit dat zonodig vele onveilige versies van android dienden te worden ondersteund?
Dit is inderdaad het geval. Het ondersteunen van oudere maar nog veel gebruikte Android versies heeft momenteel de voorkeur.
Voor zover dat mogelijk is met EV certificaten ben ik het daarmee eens, en heb de tekst van mijn bovenste bijdrage dan ook aangepast op dat punt.

Aan de andere kant mag het niet zo zijn dat, omdat een beperkt aantal mensen met een oudere versie van whatever werkt, beveiliging van de massa daar maar onder moet leiden (anders hadden we nog steeds met SSLv1, MD5, DES en RSA 512bit sleutels gewerkt).
Zeker waar. De groep die een dergelijke Android versie gebruikt is echter dermate groot (te zien in tools als Piwik) dat een overstap momenteel onverstandig zou zijn.
10-04-2017, 13:12 door Anoniem
Door Anoniem: Het alternatief vanuit de markt heet iDiN, van banken die stellen dat hun persoonsidentificatie altijd op orde is omdat mensen zich bij hen moeten legitimeren èn daarbij hun fysieke adres moeten aantonen.
Dan heb je het niet begrepen! Het gaat hier niet over het aantonen van de identiteit van de bezoeker bij de website,
maar over het aantonen van de identiteit van de website bij de bezoeker.
M.a.w. hoe weet je dat als je naar mijn.belastingdienst.nu gaat je praat met de overheid en niet met een hacker of
commercieel bedrijf wat net doet of ze de overheid zijn.
10-04-2017, 13:55 door Anoniem
Toch blijf ik de titel een beetje sensatie makerij,

1) De websites van de Nederlandse overheid zijn niet lek.
2) Het probleem zit niet in de certificaten maar in het niet gebruiken van DNS-SEC ipv DNS.

Het spoofen van een domein die DNS-SEC gebruik is (nog) niet te doen. Hierdoor is het zelfs (nog) niet mogelijk om een website met DV certificaat te spoofen. Overigens is een certificaat niet eens voor het aantonen van echtheid van een website maar voor het beveiligen van de verbinding met een website. Hierdoor zou het onmogelijk moeten zijn dat andere mensen wachtwoorden, enz.... kunnen onderscheppen.

Overigens ben ik van mening dat het volk ook zelfs eens naar een url moet kijken voordat ze gebruikers informatie gaan invullen. https://m.facebok.com is niet de website van facebook, en voor facebok.com is echt wel een EV certificaat te krijgen hoor.
10-04-2017, 15:10 door Erik van Straten
10-04-2017, 12:53 door Anoniem: De groep die een dergelijke Android versie gebruikt is echter dermate groot (te zien in tools als Piwik) dat een overstap momenteel onverstandig zou zijn.
Ik leid hieruit af dat jij kennelijk zicht hebt op Piwik informatie op een of meer overheidwebsites, interessant! Om welke site(s) gaat het? En hoe groot is "dermate groot" - in de zin van het aantal OS/webbrowser combinaties die sites met een EV certificaat geheel niet kunnen openen, versus het aantal dat dit wel kan?

Nb. ben je het met mij eens dat het criterium hier is dat iemand met een verouderde (dus sowieso onveilige) webbrowser een overheidswebsite met een EV certificaat kan openen of niet, los van wat die browser aan slotjes, URL balk kleur en/of EV informatie toont?

Mocht je het daar niet mee eens zijn: waarom zouden bezitters van stokoude Android devices geen -gratis- modernere webbrowser kunnen installeren die sites met EV certificaten wel enigszins tot voldoende ondersteunen?
10-04-2017, 15:56 door Anoniem
Door Anoniem: Toch blijf ik de titel een beetje sensatie makerij,

1) De websites van de Nederlandse overheid zijn niet lek.
2) Het probleem zit niet in de certificaten maar in het niet gebruiken van DNS-SEC ipv DNS..

Je hoeft helemaal NIKS te hacken, je hoeft alleen een nieuw domein te registreren mte een suggestieve
naam die wellicht door mensen zelf verzonnen en ingetikt wordt. Daar presenteer je een site die van
de overheid lijkt te zijn (copietje is zo gemaakt) en die allerlei informatie verzamelt.

Bijvoorbeeld digi-d.nl ofzo. Alleen presenteert die zich nog niet eens als overheidssite en toch
verzamelt deze al informatie.

Dat voorbeeld geeft trouwens ook al goed aan waarom het bovenstaande nogal irrelevant is: de
gebruiker snapt het toch niet wat voor kleurtje de balk ook heeft.
10-04-2017, 16:50 door Erik van Straten
10-04-2017, 13:55 door Anoniem: Overigens is een certificaat niet eens voor het aantonen van echtheid van een website maar voor het beveiligen van de verbinding met een website.
Misschien eerst je huiswerk doen voordat je raaskalt?

Je hoeft mij niet te geloven hoor, bijvoorbeeld uit een PDF naar keuze te downloaden in [1]:
ICT-beveiligings-richtlijnen voor Transport Layer Security (TLS), November 2014, door Nationaal Cyber Security Centrum: [...]
Werking van TLS
[...]
- Welk certificaat biedt de server aan om zijn identiteit te bewijzen?
[...]

En bijvoorbeeld uit de PDF uit [2]:
Factsheet "HTTPS kan een stuk veiliger", 5 november 2014, door Nationaal Cyber Security Centrum: [...]
De rol van HTTPS
[...]
Met behulp van een zogenaamd Extended Validation (EV)-certificaat kan een server de identiteit van zijn eigenaar aantonen. Een bezoeker van een internetbankieromgeving met EV-certificaat weet zo bijvoorbeeld niet alleen dat zijn gegevens naar de juiste website worden gestuurd, maar ook dat die website echt van zijn bank is.
[...]

[1] https://www.ncsc.nl/actueel/whitepapers/ict-beveiligingsrichtlijnen-voor-transport-layer-security-tls.html
[2] https://www.ncsc.nl/actueel/factsheets/factsheet-https-kan-een-stuk-veiliger.html
10-04-2017, 17:34 door Anoniem
Gezien de internationale afspraken van geheime diensten e.a. onderling aangaande het aftappen van communicatie die ze zelf niet mogen om daarna onderling uit te ruilen, is het in het absolute belang van deze overheid en alle lokale overheden vast te houden aan dv certificaten die globaal ongezien met mitm kunnen worden onderschept.
Men weet dat het onveilig is en men kiest daar om diverse redenen bewust voor.
Daarnaast is een bewust onveilig gehouden digid op termijn tevens een goed excuus om nieuwe systemen in te kunnen voeren die meer mogelijkheden bieden om meer gegevens over burgers te kunnen verzamelen.
Stapje voor stapje worden we een systeem ingeleid dat meer data verzamelt, door het weghalen van zogenaamde schotten tussen particulier en overheidsgebruik en dat op termijn voor iedereen onontkoombaar zal zijn omdat de andere alternatieven zijn afgeschaft en die nieuwe alomvattender systemen vermoedelijk zelfs verplicht zullen worden.
Onveiligheid is in deze een zeer bewuste keuze en heeft een zeer gewenste functiee, voor een deel aantoonbaar aanwijsbaar en voor een ander deel slechts op basis van aannemelijkheid te gissen.
Dat sommige ministers geen zichtbaar kort donkerblond snorretje hebben is geen enkele garantie op. Groot demissionair maatschappelijk gevaar met extreem lange termijn consequenties.
Sterke mannen kunnen gevaarlijk zijn, extreem slappe bewindspersonen minstens net zoveel, deze man en nog een paar uit dit kabinet horen eigenlijk thuis voor een tribunaal in dezelfde stad, om echte daadwerkelijk inhoudelijk en openlijke verantwoording af te leggen voor de enorme rechtsstatelijke schade die ze aan het aanrichten zijn.
Voor de rechter met alle informatie op tafel. Voordat deze daders op het spreekwoordelijke verantwoordingvrije kerkhof liggen, dat is het meesterlijke voordeel van de demissionaire status en snel wetgeving proberen in te voeren in verkiezingstijd. Ongehoord schunnige gang van zaken in een land dat maar niet wakker wenst te worden.
10-04-2017, 22:25 door SecOff
Beste Erik,

Je hebt gelijk in je oproep voor het gebruik van EV certificaten maar het gebruik van reguliere EV certificaten is niet aan te raden. Één van de redenen voor het gebruik van PKI overheidscertificaten is het feit dat deze certificaten alleen door een beperkt aantal ca's uitgegeven kunnen worden. Er zijn applicaties die geen andere certificaten accepteren. Dit is in mijn ogen een goede zaak gezien het brakke karakter van de internationale PKI infrastructuur. Zelfs met EV certificaten blijft dit een probleem, of vertrouw jij alle root CA's in je browser?

Als laatste nog de tip je oproep met een positievere toon te beginnen. Als je wilt dat mensen luisteren kun je beter starten met te vertellen hoe het beter kan en daarna de risico's van de huidige situatie te schetsen dan te beginnen met het afbranden van hoe het nu geregeld is.
10-04-2017, 23:08 door Anoniem
Opgelet:

changes will become effective September 2017:

https://blog.qualys.com/ssllabs/2017/03/13/caa-mandated-by-cabrowser-forum
11-04-2017, 08:03 door Erik van Straten
10-04-2017, 22:25 door SecOff: Één van de redenen voor het gebruik van PKI overheidscertificaten is het feit dat deze certificaten alleen door een beperkt aantal ca's uitgegeven kunnen worden. Er zijn applicaties die geen andere certificaten accepteren. Dit is in mijn ogen een goede zaak gezien het brakke karakter van de internationale PKI infrastructuur.
In die context ben ik het voor 100% met je eens: in webbrowsers die niet voor het surfen naar non-overheidssites worden gebruikt (bijv. bij interne communicatie tussen overheidsonderdelen), is het zeer verstandig om alle niet PKIoverheid rootcertificaten te verwijderen of anderszins te blokkeren. Aangezien er onder die vertrouwde rootcertificaten uitsluitend betrouwbare https certificaten worden uitgegeven, heb je in die situatie inderdaad geen EV certificaten nodig om je van lichtzinnig afgegeven certificaten (DV, maar ook andere non-EV certs, bijv. van corrupte uitgevers) te kunnen onderscheiden.

En als je een dedicated applicatie gebruikt die uitsluitend PKIoverheid certificaten accepteert, heb je daar ook geen EV certificaten voor nodig, zeker niet van willekeurige CA's. Sterker, in een dedicated app volstaat een daarin opgenomen "pinned" public key om, geheel zonder certificaten of zelfs overdracht van die public key op andere wijze, de authentiteit van de server te kunnen vaststellen.

Met het risico dat dit luchtfietsende ambtenaren verder afleidt van mijn voorstel: de overheid zou zelfs een "universele" overheidsapp kunnen maken conform wat Ron625 hierboven voorstelt (in een bijdrage die niet ingaat op het authenticatieprobleem dat ik aankaart - en, hoewel interessant, gezien de eilandjesmentaliteit van de overheid, ook niet erg realistisch is vrees ik). Toch even dromend: indien je de hele overheid (alle "sites") binnen één app bereikbaar zou kunnen maken, zou de overheid in elk geval op het gebied van serverauthenticatie veel geld kunnen besparen! Wellicht ietsje realistischer: de overheid zou, uitsluitend bestemd voor voor burger-overheidscommunicatie, een aangepaste versie van Firefox kunnen maken en onderhouden (a-la tor browser) en die uitsluitend van PKIoverheid rootcerts voorzien.

Maar dit is allemaal (nog) niet aan de orde!

Daar waar doorsnee burgers nu door de overheid geacht worden om met een standaard webbrowser te communiceren met meerdere websites van die overheid, ben je nou eenmaal overgeleverd aan de rootcertificaten waar die webbrowser over beschikt.

Overigens is een gangbare webbrowser niet per definitie onveiliger dan een dedicated applicatie, want bij het gebruik van die laatste (ook door overheidsonderdelen onderling) verschuift de authenticatietaak geheel naar die applicatie. Daarbij kun je je o.a. afvragen:
- Heb ik een authentieke of een nep app geïnstalleerd?
- Authenticeert de app de server daadwerkelijk? (gaat heel vaak mis in apps, zie bijv. [1] en, hardleers, [2])
- Ondersteunt de app revocation van certificaten en/of server key(s)?
- Kan de app "gevoed" worden met "alternatieve" rootcertificaten (of kan een pinned public key worden vervangen) waardoor (ook) fake servers worden geaccepteerd?
- Hoe snel verschijnen updates na gemelde lekken en werken automatische updates?
En kennelijk is het ontwikkelen van een app niet zo simpel, want waar blijft de MijnOverheid BerichtenBox app die medio 2016 zou verschijnen (zie bijv. [3])?
Hoewel webbrowsers een relatief groot aanvalsoppervlak hebben, is er veel over bekend (doordat er veel onderzoek naar wordt gedaan en waarover veel wordt gepubliceerd), zijn hun TLS stacks vaak goed up-to-date en zijn er allerlei tools en plugins beschikbaar die aanvallen lastiger kunnen maken. Feit is dat 1 onbetrouwbare certificaatuitgever alle certificaten onbetrouwbaar maakt, maar gezien de eisen aan de uitgifte van EV certificaten ben je daar m.i. veel veiliger mee uit dan met niet van troep te onderscheiden PKIoverheid certificaten.

Maar nogmaals, mijn voorkeur gaat uit naar EV certificaten van PKIoverheid: die bestaan al een tijd [4], maar worden om mij onbekende redenen nog steeds niet ingezet - terwijl gewone PKIoverheid certs ondertussen niet meer van speelgoedcertificaten onderscheiden (kunnen) worden.

10-04-2017, 22:25 door SecOff: ... gezien het brakke karakter van de internationale PKI infrastructuur. Zelfs met EV certificaten blijft dit een probleem, of vertrouw jij alle root CA's in je browser?
Nee. Maar het is voor doorsnee burgers onmogelijk om een set rootcertificaten naar keuze te vertrouwen, zeker onder Windows (door de steeds dikker wordende navelstreng naar Redmond waardoor we, onder andere en vooral stilletjes, rootcerts "on demand" gevoed krijgen; thuisgebruikers zijn totaal niet meer in control).

Je hebt gelijk als je stelt dat het gebruikmaken van webbrowsers en de bijbehorende afhankelijkheid van globale, vaak discutabele, certificaatverstrekkers voor communicatie door burgers met de overheid aan veiligheid te wensen overlaat. Maar we hebben m.i. geen beter alternatief (in elk geval niet op korte termijn). En met flut alternatieven of een "niks deugt" mentaliteit, zoals sommige anderen hierboven menen te moeten bezigen, bereik je zeker niks.

Binnen de huidige mogelijkheden ben ik ervan overtuigd dat de veiligheid aanzienlijk verbetert als de overheid zou doen wat ik voorstel in de bovenste bijdrage. Mag ik uit het begin van de eerste inhoudelijke regel in jouw reactie opmaken dat je dat met mij eens bent?

P.S. dank voor de tip. Aangezien PKIoverheid EV certificaten gewoon beschikbaar zijn maar nog niet worden ingezet, ga ik ervan uit dat onkunde, onterechte bezuinigingsdrift en/of ordinaire overheidsbesluitsuitstelleritis er de oorzaken van zijn dat ze nog steeds niet worden ingezet. En in mijn praktijkervaring luisteren dat soort overheden niet naar zachte heelmeesters, vandaar mijn schandpaalaanpak. Waarvan ik ook niet weet of die gaat werken, maar daarmee heb ik in elk geval mijn best gedaan. Niet of nauwelijks onderbouwde aanvallen in de rug door andere "securityspecialisten" neem ik daarbij maar op de koop toe, en hoop dat mijn argumenten (ook in deze bijdrage) goed gewogen worden door de geadresseerde.

[1] (apr 2016) https://esupport.trendmicro.com/en-us/home/pages/technical-support/1114151.aspx
[2] (mar 2017) https://success.trendmicro.com/solution/1116973
[3] https://magazines.rijksoverheid.nl/bzk/blikopbzk/2016/04/kort
[4] https://www.logius.nl/over-logius/actueel/item/titel/g3-en-ev-root-pkioverheid-geaccepteerd-door-bekende-browsers/
11-04-2017, 08:59 door Anoniem
Op link [4] wordt aangegeven: "voor Android geldt dat de G3 en EV-root in oktober (red: 2015) zijn uitgerold op Android Marshmallow. De G3 en EV root van PKIoverheid worden niet met terugwerkende kracht gedistribueerd op oudere versies van Android. Indien Chrome wordt gebruikt, zal de G3 en EV root van PKIoverheid alleen op het besturingssysteem van Android Marshmallow publiekelijk vertrouwd worden. Andere browsers die gebruikmaken van hun eigen certificate store zoals Firefox Mobile en (voor de EV Root) Opera Mini, vertrouwen de EV-root ook op oudere versies van Android."

Met andere woorden, voor Android versies voor Marshmallow (6) zullen EV PKI Overheid certificaten een de meeste gevallen niet werken. Gezien het nog steeds veelvuldig gebruik van Android Lollipop is dat wellicht de reden om het gebruik van EV certificaten nog niet af te dwingen.
11-04-2017, 10:54 door Anoniem
Door Erik van Straten:
10-04-2017, 13:55 door Anoniem: Overigens is een certificaat niet eens voor het aantonen van echtheid van een website maar voor het beveiligen van de verbinding met een website.
Misschien eerst je huiswerk doen voordat je raaskalt?

Je hoeft mij niet te geloven hoor, bijvoorbeeld uit een PDF naar keuze te downloaden in [1]:.....

Alles leuk en aardig, ik werk al ruim 17 jaar in de IT, heb voor heel veel hosting partijen gewerkt, en weet echt wel wat een certificaat is. Met een certificaat kan je nooit aantonen dat jij zegt wie je bent. Als ik digi-d.nl zou registreren, mij bij de kamer van koophandel inschrijf onder digi-detachering met de website www.digi-d.nl kan ik een EV-certificaat krijgen. Mooi groen balkje, beveiligde verbinding, en als ik dan een kopie trek van digid.nl en die live zet op digi-d.nl zullen er heel veel mensen er in trappen. Dit komt omdat er een groenbalkje is, sleutelhangertje in de url balk van de browser. Dat ziet er veilig uit.

Certificaten zijn er om de handshake van de browser en de server te doen, hierna is er een beveiligde verbinding. De echtheid van een website en de echtheid van de eigenaar van de website niet (goed) te achterhalen.

Dit probleem zit in dat in principe iedereen een EV certificaat kan aanvragen mits je aan de eisen voldoet. Verder is er geen hond dit gaat kijken naar het root certificaat of die wel van de overheid is.

Ik onderschrijf wel dat ik het raadzaam vind dat overheden gebruik maken van EV certificaten, maar om het nog beter te maken zou het verstandiger zijn om x.gov.nl oid te gaan gebruiken. En dit sublevel domain alleen maar toe te kennen aan overheidsinstellingen. Dit zou gewoon moeten kunnen omdat gov.nl al geregistreerd is door de rijks overheid.

Ook ben ik van mening dat zelfs met het risico dat sommige mensen niet meer op de site kunnen komen ivm te nieuwe SSL certificaat. Gewoon een goede/veilig EV moet gebruiken. Dan moeten mensen maar hun browsers en devices updaten. Als je dar niet doet is de kan ook aannemelijk dat zij degene zijn die 'lek' zijn.
11-04-2017, 14:16 door Erik van Straten - Bijgewerkt: 11-04-2017, 14:16
10-04-2017, 23:08 door Anoniem: Opgelet:

changes will become effective September 2017:

https://blog.qualys.com/ssllabs/2017/03/13/caa-mandated-by-cabrowser-forum
Die kende ik nog niet, weer wat geleerd, dank hiervoor!

Overigens niet perfect:
- Als aanvallers jouw data van bij jouw DNS registrar (zoals in [1]) kunnen wijzigen, helpt CAA natuurlijk niet;
- Andere aanvallen (tijdens de certificaataanvraag) op DNS (inclusief DDoS) en/of routering zouden ook roet in het eten kunnen gooien;
- Dit werkt alleen als alle certificaatuitgevers zich eraan houden (bij EV certificaten is de kans daarop wel het grootst vermoed ik).

Hoe dan ook een welkome, goedkope en eenvoudige verbetering die aanvallen bemoeilijkt. Ik heb de managementsamenvatting bovenaan aangepast. Nogmaals dank!

[1] https://www.security.nl/posting/509888/Let%27s+Encrypt+net+zo+onveilig+als+DNS
11-04-2017, 14:25 door Erik van Straten - Bijgewerkt: 11-04-2017, 15:07
11-04-2017, 08:59 door Anoniem: Op link [4] wordt aangegeven: "voor Android geldt dat de G3 en EV-root in oktober (red: 2015) zijn uitgerold op Android Marshmallow. De G3 en EV root van PKIoverheid worden niet met terugwerkende kracht gedistribueerd op oudere versies van Android. Indien Chrome wordt gebruikt, zal de G3 en EV root van PKIoverheid alleen op het besturingssysteem van Android Marshmallow publiekelijk vertrouwd worden. Andere browsers die gebruikmaken van hun eigen certificate store zoals Firefox Mobile en (voor de EV Root) Opera Mini, vertrouwen de EV-root ook op oudere versies van Android."

Met andere woorden, voor Android versies voor Marshmallow (6) zullen EV PKI Overheid certificaten een de meeste gevallen niet werken. Gezien het nog steeds veelvuldig gebruik van Android Lollipop is dat wellicht de reden om het gebruik van EV certificaten nog niet af te dwingen.
Zoals ik eerder al schreef en jij ook aanhaalt: installeer een (gratis) alternatieve browser, of leer ermee leven dat goedkoop (niet onderhouden Android crap) al snel duurkoop is.

Als de overheid minder kapitaalkrachtige burgers dat niet aan wil doen: geef dan toe dat Logius gefaald heeft om tijdig PKIoverheid EV rootcerts aan OS/browser boeren beschikbaar te stellen, en koop commerciële (andere dan PKIoverheid-) EV certificaten. Gebruikers zien het verschil echt niet, en waarschijnlijk kosten ze minder belastinggeld.
11-04-2017, 14:35 door Erik van Straten
11-04-2017, 10:54 door Anoniem: Als ik digi-d.nl zou registreren, mij bij de kamer van koophandel inschrijf onder digi-detachering met de website www.digi-d.nl kan ik een EV-certificaat krijgen.
EXACT! Lees nu mijn bovenste bijdrage nog eens of bijv. https://www.security.nl/posting/407103 uit 2014.
11-04-2017, 15:11 door Anoniem
Door Erik van Straten:Zoals ik eerder al schreef en jij ook aanhaalt: installeer een (gratis) alternatieve browser, of leer ermee leven dat goedkoop (niet onderhouden Android crap) al snel duurkoop is.
Een telefoon met daarop Android Lollipop is de Samsung Galaxy S4. Deze telefoon wordt ook nu nog verkocht voor rond de 180 euro en is daarnaast nog door veel mensen in gebruik. Hetzelfde geldt voor apparaten als de Note 3 en de HTC One M7. Deze zijn (standaard) niet up-to-date te brengen naar Android Marshmellow (of hoger).

De overheid heeft dus de keuze om deze mensen (wat toch echt een significante groep is) wel of niet te ondersteunen. Zie onder andere https://www.tabletsmagazine.nl/2017/03/android-7-0-nougat-aanzienlijk-meer-marktaandeel-gekregen/ voor een overzicht op de marktaandelen per Android versie.

De meest gebruikte browser is de standaard browser. Het gebruiken van een andere browser is een optie die de mensen met deze (verouderde) apparatuur hebben, dat is waar.
11-04-2017, 15:33 door Anoniem
Als ik digi-d.nl zou registreren, mij bij de kamer van koophandel inschrijf onder digi-detachering met de website www.digi-d.nl kan ik een EV-certificaat krijgen. Mooi groen balkje, beveiligde verbinding, en als ik dan een kopie trek van digid.nl en die live zet op digi-d.nl zullen er heel veel mensen er in trappen.
No way: "digi-d.nl" is al bezet en is een grafisch bedrijf.

Mijn idee: mensen kunnen beter bookmarken: mijn.overheid.nl
( of "www.mijn.overheid.nl" of "www.mijnoverheid.nl" of "mijnoverheid.nl" ).

Daarvandaan kun je overal naar toe door simpel te klikken op waar je naar toe wilt.
Zo maak je ook geen typo's waardoor je per ongeluk bij een verkeerde frauduleuze website terecht kan komen.

Zo te zien hebben rijksoverheidswebsites waaronder mijn.overheid.nl, www.digid.nl en digid.nl HSTS met een tijdsduur van 1 jaar. Ga je vaker dan 1 jaar via mijn.overheid.nl en Digid naar een overheidswebsite, dan beschermt HSTS je enigzins.
Het komt echter ook voor dat men maar één keer per jaar gebruik maakt van een rijksoverheidsdienst (bijv. belastingen).
Dus het enige echte minpunt vind ik dat de HSTS periode te kort is. Een periode van 1½ jaar zou beter zijn.

Verder wordt het nu wel tijd dat 3DES -ciphers worden verwijderd.
Het gaat onder andere wel over je DigiD identificatiegegevens!
De veiligheid was in 2014 nog "matig" maar wordt natuurlijk steeds zwakker naarmate de jaren verstrijken.

Er zit wat dit betreft ook een onnodige fout in de SSL/TLS-configuratie van http://mijn.belastingdienst.nl
De ciphers zijn nu zo geconfigureerd dat Androïd 2.3.7 en de apparaten die nog java (6,7 of 8) gebruiken nu een zwak cipher met 3des krijgen voorgeschoteld. Dat hoeft helemaal niet.
Androïd 2.3.7 zou ook standaard TLS_DHE_RSA_WITH_AES_128_CBC_SHA kunnen krijgen. Veel beter volgens mij.
En ook die apparaten met java kunnen standaard een veel beter cipher toegewezen krijgen.
Dit zijn al verouderde en kwetsbare apparaten die gemakkelijk aangevallen kunnen worden.
Maar als men dan toch per sé ook deze apparaten nog wil ondersteunen, doe het dan wel zo goed mogelijk.
(Windows XP met IE8 kan sowieso geen fatsoenlijker cipher aan als het zwakke 3des; ik zou er niet aan beginnen om met een 3des-cipher in te loggen op digid en dan belastingaangifte te doen)
Verder heeft het volgens mij geen enkele zin om 3des ook voor TLS1.1 en TLS 1.2 te ondersteunen.
Een browser die TLS1.1/TLS1.2 aan kan, heeft i.h.a. veel betere ciphers aan boord dan ciphers gebaseerd op 3des.

De certificaten van de overheid vind ik redelijk herkenbaar, en er is een OCSP server: http://g2ocsp.managedpki.com.
Zou een vals certificaat daar niet door de mand vallen?
Tegenwoordig hebben de meeste browsers OCSP toch standaard "aan"?
Dat zou al heel wat schelen.

www.rovid.nl is de videoserver van de overheid.
Als je geen filmpjes van de overheid nodig hebt, kan je www.rovid.nl bijv. blokkeren in je hosts file.

Ik geef toe dat EV-certificaten nog beter zouden zijn, maar ik geloof dat er ook zonder EV-certificaten zich in de praktijk nauwelijks of geen problemen met inloggen op valse websites voordoen? Ik heb er tenminste niet van gehoord.
En vind de theorie van Erik dan ook wat "theoretisch".
Daarbij staat het hele digid al een tijdje op de schop.
Maar als iemand daar anders over meent te weten en gefundeerd kan aangeven: leer mij.
11-04-2017, 15:41 door Anoniem
Door Anoniem: Als ik digi-d.nl zou registreren, mij bij de kamer van koophandel inschrijf onder digi-detachering met de website www.digi-d.nl kan ik een EV-certificaat krijgen. Mooi groen balkje, beveiligde verbinding, en als ik dan een kopie trek van digid.nl en die live zet op digi-d.nl zullen er heel veel mensen er in trappen. Dit komt omdat er een groenbalkje is, sleutelhangertje in de url balk van de browser. Dat ziet er veilig uit.

Hoho dit voorbeeld was er juist om aan te tonen dat de kleur van het balkje en het slotje geen bal uitmaakt.
Dat domein IS al geregistreerd, eerder dan digid.nl zelfs, er staat helemaal geen copie op van digid.nl maar een
heel andere site, met een contactformulier, en hele massa's mensen vullen dat in met vragen over hun digid
inclusief hun gebruikersnaam en wachtwoord. Deze info gaat naar de houder van het domein, en die publiceerde
die informatie. Daar is ie mee gestopt, maar die site is er nog wel steeds dus ik neem aan dat het invullen van
dat contactformulier gewoon doorgaat. Zonder groen balkje.

Kortom je moet inroeien tegen een enorme hoeveelheid domheid en met certificaten ga je dat niet oplossen
al hebben ze een gouden randje.
11-04-2017, 19:43 door Erik van Straten
11-04-2017, 15:41 door Anoniem: Kortom je moet inroeien tegen een enorme hoeveelheid domheid en met certificaten ga je dat niet oplossen al hebben ze een gouden randje.
Nee, geen certificaat met een gouden randje, maar wel met een EV certificaat. Waarom denk je dat banken die gebruiken?

Helaas kan ik op deze site geen plaatjes invoegen, dus kijk nou alsjeblieft eens naar https://support.mozilla.org/legacyfs/online/sumo-media/gallery/images/2015-09-13-08-26-04-5d74d5.png en stel je voor dat je daar, van links naar rechts, zou zien:
- een groen slotje
- groene tekst: NL Overheid
- https://<domeinnaam van overheidswebsite>/, zoals https://www.digid.nl/ of https://www.utrecht.nl/

Als je het nu nog niet snapt, geef ik je enkele scenario's waarbij cybercriminelen een gespoofde, als 2 druppels water lijkende, overheidswebsite (zoals www.digid.nl of www.rotterdam.nl) met geldig certificaat - zouden kunnen maken:

1) Een site die zij ergens hosten of een willekeurige website die zij hacken, en waarvoor zij een look-a-like domeinnaam registreren zoals www.digi-d.nl, mijndigid.nl, www.cligid.nl of www.digid.nl\u00E4-veilig-inloggen.ru/blabla en waar zij vervolgens probleemloos een Let's Encrypt certificaat voor kunnen krijgen;

2) Een bestaande website met een legitieme look-a-like domeinnaam zoals www.digi-d.nl (reeds voorzien van een certificaat, dat volgende week best een legitiem EV certificaat zou kunnen zijn) die zij hacken;

3) Als zij (kortstondig, tijdens de certificaataanvraag) onrechtmatige toegang (evt. met hulp van binnenuit) tot een e-mail account van een beheerder in een domein als rotterdam.nl weten te krijgen, kunnen zij eenvoudig een gewoon DV certificaat aanvragen voor dat domein en dat vervolgens in de buurt van burgers (insecure en/of public WiFi, of na wijzigen van DNS instellingen in thuisrouters) inzetten op een nepsite - met kloppende domeinnaam dus;

4) Als zij (kortstondige) onrechtmatige schrijftoegang tot het IP adres in het DNS record van die domeinnaam weten te krijgen, kunnen zij een certificaatverstrekker als Let's Encrypt op het verkeerde been zetten. En wellicht kunnen zij dit, in plaats van via toegang tot DNS records, dit ook middels kortstondige DNS poisioning attacks en/of kortstondige BGP hijacks (verder zie 3 hierboven).

Aanvallers hebben dus meerdere mogelijkheden om nepsites te maken -zonder dat de overheid hier enige invloed op kan uitoefenen- en deze te voorzien van non-EV certificaten. En wellicht kunnen zij op deze wijze (scenario 2) zelfs nepsites met EV certificaten realiseren.

Echter, een EV certificaat op naam van de Nederlandse overheid, dat de groene tekst NL Overheid laat zien in webbrowsers die dit ondersteunen, kunnen zij via de beschreven scenario's niet krijgen! Waarmee in elk geval gebruikers van die webbrowsers, als zij weten waar zij op moeten letten, in één oogopslag (zonder op slotjes te hoeven klikken en certificaten te inspecteren), aan de hand van de groene tekst NL Overheid, kunnen vaststellen dat hun webbrowser daadwerkelijk verbinding heeft met een overheidswebsite. Welke overheidswebsite dat is, blijkt vervolgens betrouwbaar uit de getoonde domeinnaam.
12-04-2017, 10:29 door Erik van Straten
@Anoniem 11-04-2017, 21:35: anders dan dat ik er veel van leer (bijv. CAA kende ik nog niet), en die kennis absoluut ook gebruik binnen mijn werk, ben ik niet uit op ander gewin. Als je verder had gegoogled had je kunnen zien dat ik mij al inzette voor een veiliger Internet toen ik nog bij de TU Delft werkte (dat was tot 2004).

Ik schrijf dit soort artikelen o.a. omdat ik niet aan familie, vrienden en collega's kan uitleggen hoe zij echte van nepsites kunnen onderscheiden, maar ook omdat ik kennis delen ontzettend belangrijk vind. Het is zeker niet zo dat ik alles (beter) weet; met goede argumenten laat ik mij graag ompraten.

Wel erg onder de gordel trouwens om het zo aan te pakken als je het niet met mij eens bent, en dat ook nog eens anoniem te doen. Klinkt als iemand die gebaat is bij een onveilig Internet...
12-04-2017, 11:37 door Anoniem
Door Erik van Straten: @Anoniem 11-04-2017, 21:35: anders dan dat ik er veel van leer (bijv. CAA kende ik nog niet), en die kennis absoluut ook gebruik binnen mijn werk, ben ik niet uit op ander gewin. Als je verder had gegoogled had je kunnen zien dat ik mij al inzette voor een veiliger Internet toen ik nog bij de TU Delft werkte (dat was tot 2004).

Ik schrijf dit soort artikelen o.a. omdat ik niet aan familie, vrienden en collega's kan uitleggen hoe zij echte van nepsites kunnen onderscheiden, maar ook omdat ik kennis delen ontzettend belangrijk vind. Het is zeker niet zo dat ik alles (beter) weet; met goede argumenten laat ik mij graag ompraten.

Wel erg onder de gordel trouwens om het zo aan te pakken als je het niet met mij eens bent, en dat ook nog eens anoniem te doen. Klinkt als iemand die gebaat is bij een onveilig Internet...

Erik, dat lost toch niks op.

Je schoonmoeder weet het verschil toch niet, die klikt vrolijk op de Secure digi-d.ru met random certificate.
12-04-2017, 17:28 door Anoniem
Door Erik van Straten:
Als je het nu nog niet snapt, geef ik je enkele scenario's waarbij cybercriminelen een gespoofde, als 2 druppels water lijkende, overheidswebsite (zoals www.digid.nl of www.rotterdam.nl) met geldig certificaat - zouden kunnen maken:

1) Een site die zij ergens hosten of een willekeurige website die zij hacken, en waarvoor zij een look-a-like domeinnaam registreren zoals www.digi-d.nl, mijndigid.nl, www.cligid.nl of www.digid.nl\u00E4-veilig-inloggen.ru/blabla en waar zij vervolgens probleemloos een Let's Encrypt certificaat voor kunnen krijgen;
Dit geld ook voor een EV certificaat. Ja je moet er iets meer voor doen. Maar dat ik ook wel te doen.
En toevallig ergens in een verland, zet ik een bedrijfje op NL 0verheid, of NL Overhe1d, of overheid. Geen Nederlander zie het verschil ziet of snapt.
Even afgezien dat NL Overheid het erg lastig is/wordt om hierop een certificaat te krijgen. NL Overheid bestaat namelijk niet, dus kan er geen controle op plaatsvinden.

Daarnaast klopt je titel van je topic niet het is helemaal, het is niet lek werk exact zoals het moet werken volgens alle standaarden zie er zijn.
12-04-2017, 20:12 door Anoniem
Onzinnige stemmingmakerij

Lees al heel wat jaartjes deze site en de berichten lopen bepaald niet over van nieuws over een gehackte digid website.
Ik heb hier nog nooit gelezen dat iemands didid was 'gemitmhackt'.
Laat staan dat dit veel gebeurt.
Allemaal overdreven theoretische hysterie en theoretisch spierballenvertoon om het vertoon.

Zorg nou maar dat p2000 veilig wordt en blijft.
Of is dat in 2018 af en moet er nou 'subtiel' gesolliciteerd worden naar een nieuw overheidsproject middels dit soort hysterische berichten.
De brug tussen praktijk en theorie lijkt hem dan ook vooral te zitten in de brug van de eigen bedrijfswallet; nieuwe overheidsopdrachten verwerven op basis van publieke stemmingmakerij met een verkeerde suggestieve kop.
Voor de redactioneel supported serie van stemmingmakerij had deze variant ook niet misstaan,

"DigiD net zo onveilig als DNS"

Voorlopig sla je een paar stappen over, want je loopt hier postings te plaatsen op een site die zelf geen EV certificaat gebruikt.
We weten dus niet eens of we allemaal wel dezelfde stukken lezen of, belangrijker nog, door wie deze site nog meer gemodereerd wordt.
Want wie opgelet heeft, maar daar moet je geen vast account voor hebben om dat te 'weten', weet dat er substantieel veel reacties de kolommen hier niet halen.

Hoe kritischer het bericht hoe lager de kans dat het hier de kolommen haalt, er is inmiddels een heel lijstje samen te stellen van onderwerpen die er niet door komen.
Er zijn met weinig fantasie partijen denkbaar die bepaalde discussies liever niet in het openbaar zien.
Dan kan men een redactie verzoeken actief daarop te modereren, ligt wat lastig met persvrijheid en zo, maar je kan het natuurlijk ook direct mitm zelf ter hand nemen.
Goede mitm oefening voor betreffende teams waarover we af en toe lezen hier.

Dus, begin eerst maar bij het begin.
Eerst een EV certificaat op deze site opdat we beter van de informatie van ons scherm op aan kunnen en we minder twijfels hoeven te hebben op 3rd party moderatie.
Een ev certificaat propageren voor deze site, want waarom is dat er niet?
Slechte reclame voor een security bedrijf zou je denken.

Tenzij er voldoende andere voordelen tegenoverstaan.
Wat dat betreft mogen er wel een paar agenda's openbaar op tafel : wat is het werkelijke belang vandeze poster en van deze site?
12-04-2017, 23:30 door Erik van Straten - Bijgewerkt: 12-04-2017, 23:31
Helaas heeft een troll (vermoedelijk dezelfde) vandaag voor de tweede keer geprobeerd om mijn bijdragen op deze site in verband te brengen met mijn werk. Ik sluit niet uit dat dit mijn werkgever, en dus mij, in problemen brengt, en dat is het mij niet waard.

Wat ik op security.nl schreef was altijd volledig op persoonlijke titel. Of ik terugkom weet ik niet, maar voorlopig hou ik het hier voor gezien.

Bij deze wil ik iedereen bedanken voor alle constructieve reacties op mijn bijdragen, inclusief die reacties waarvan ik het niet eens was met inhoudelijke argumenten. En de redactie dank ik voor de vele jaren dat ik via dit forum anderen mocht helpen, zeer veel heb geleerd en mijn mening over zaken mocht geven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.