image

Chrome zal slotje bij https-sites uiteindelijk niet meer laten zien

zondag 8 april 2018, 10:57 door Redactie, 8 reacties

Websites met een beveiligde verbinding zijn op dit moment binnen Google Chrome te herkennen aan een groen slotje en de melding "Veilig", maar Google is van plan om deze indicatoren uiteindelijk niet meer via de adresbalk weer te geven. Een beveiligde verbinding wordt de standaard en gebruikers krijgen alleen nog een melding te zien als ze een website met een onbeveiligde verbinding bezoeken.

Dat liet Emily Schechter, productmanager Chrome Security, deze week tijdens een beveiligingsconferentie op Hawaii weten. Ook meldde ze dit op Twitter. Google heeft onderzoek laten doen waaruit blijkt dat mensen moeite met url's hebben. Ze zouden gebruikers moeten helpen met het identificeren van websites en het navigeren op internet, maar dat blijkt in de praktijk tegen te vallen, aldus Schechter.

Om de uitrol van https onder websites te bevorderen besloot Google niet alleen om bij https-sites de melding "Veilig" in de adresbalk weer te geven, maar bij http-sites de melding "Niet veilig" te tonen. Een proces dat in juli van dit jaar wordt afgerond, als bij alle http-websites in Chrome de melding "Niet veilig" verschijnt. Het uiteindelijke plan van Google is om binnen Chrome het slot-icoon en de Veilig-melding te laten verdwijnen, zodat gebruikers alleen nog een melding krijgen als ze een http-site bezoeken.

De presentatie van Schechter moet nog online verschijnen, maar onderzoekers Troy Hunt en Scott Helme die bij de presentatie waren, bespreken in deze podcast het plan van Google.

Reacties (8)
08-04-2018, 11:41 door Bitwiper
Dat Google dat slotje wil schrappen en de gebruiker alleen wil attenderen op verbindingen met niet-geauthenticeerde servers en onversleutelde verbindingen daarmee, valt wat voor te zeggen.

Maar doe dat dan in een gecoördineerde actie met de andere grote browserfabrikanten, anders zal er een periode van onduidelijkheid volgen waar criminelen dankbaar gebruik van zullen maken.

Enigszins security-aware gebruikers volgen namelijk het advies van o.a. banken en familieleden op: check dat de URL begint met https://example.com/ en dat je het slotje ziet! Als dit per browser verschilt is dat vragen om ellende. Het wordt er niet overzichtelijker op als banken e.d. per browser moeten gaan beschrijven waar je op moet letten.

Google heeft onderzoek laten doen waaruit blijkt dat mensen moeite met url's hebben. Ze zouden gebruikers moeten helpen met het identificeren van websites en het navigeren op internet, maar dat blijkt in de praktijk tegen te vallen, aldus Schechter.
Helemaal waar, maar ik zie niet hoe schrappen van een slotje dit probleem oplost! Bovendien denken de meeste gebruikers dat "veilig" op de website slaat, terwijl een slotje hooguit iets zegt over de verbinding.

Hoe wil je dat een gebruiker in één oogopslag het verschil ziet tussen https://rabobank.com/ en https://rabobank.corn/? Hoe moet een gebruiker weten en onthouden dat hij voor het bekijken van zijn Visa kaart saldo naar https://icscards.nl/ moet?

Er zijn nog steeds geen echt goede oplossingen tegen phishing (EV certificaten helpen, maar zijn ook niet waterdicht), het schrappen van een slotje gaat hier niet bij helpen - aanvankelijk integendeel.
08-04-2018, 11:45 door Briolet
Slechte zaak. Als alle http sites de melding "niet veilig" krijgen, zullen mensen die sites toch blijven bezoeken, omdat ze vaak geen keus hebben.

Hierdoor dwing je mensen om een "niet veilig" melding te negeren. Ik vind het een slechte zaak als je mensen gaat aanleren om een zo expliciete melding te negeren. Ze gaan het dan ook negeren als het echt niet veilig is.

Bij mij is het slotje ook de meest simpele en intuïtieve manier om snel even het certificaat te controleren. Bij Chrome zal een leek nu al niet weten hoe hij een gebruikt certificaat kan opvragen.
08-04-2018, 11:53 door Briolet
Safari is met de update van vorige week ook begonnen met de "niet veilig" melding op http sites waar een inlogveld op staat.

Zij zijn gelukkig zo verstandig geweest om deze melding niet te vermelden als je via een lokaal IP adres inlogt. b.v. op je eigen router of een ander lokaal apparaat.
Echter, alleen als je via een IP adres inlogt. Als je thuis een eigen dns server hebt en met een url inlogt die naar dat lokale IP wijst, zie je thuis nog steeds de "niet veilig" melding.
08-04-2018, 13:53 door Anoniem
Op een website van mij heb ik één bezoeker die de melding "niet veilig" krijgt.
Echter, alle andere bezoekers krijgen een groen slotje.
Waarom die ene bezoeker dat krijgt is een raadsel en Chrome verteld je ook niet zomaar waarom.

Dat ze het nu omdraaien maakt het voor veel meer mensen verwarrend omdat hun bank zegt dat je goed moet opletten op het groene slotje en dat daar de naam van de bank in staat.

Tjonge, wat is er nou zo moeilijk aan om het slotje te laten staan in rood of groen, waarbij rood gewoon alles is met fouten (dus ook https websites met http content)
08-04-2018, 16:03 door Bitwiper
Door Anoniem: Op een website van mij heb ik één bezoeker die de melding "niet veilig" krijgt.
Echter, alle andere bezoekers krijgen een groen slotje.
Waarom die ene bezoeker dat krijgt is een raadsel en Chrome verteld je ook niet zomaar waarom.
Typische oorzaken, client side:
- De datum op de PC staat hartstikke fout
- Op de PC staan niet de laatste rootcertificaten en om de een of andere reden worden deze niet bijgewerkt
- Op de PC draait een virusscanner die SSL/TLS verbindingen openbreekt maar dat op brakke wijze doet (of jouw server gebruikt public key pinning waardoor dit altijd foutmeldingen geeft)
- De gebruiker heeft een of meer certificaten ge-distrust
- De gebruiker heeft instellingen van de browser gewijzigd. Als ik me niet vergis kun je in Chrome OCSP niet afdwingen, wel in Firefox en dat leidt bij mij regelmatig tot fouten omdat OSCP niet (goed) werkt)
- Malware op de PC kan allerlei vreemde effecten geven
- Ergens tussen de PC en jouw server wordt sslstrip o.i.d. gedraaid

Server side:
- Jouw server stuurt een intermediate certificaat niet mee dat die ene persoon toevallig niet in de cache heeft (check je server op https://www.ssllabs.com/ssltest/)
- Jouw server stuurt iets mee dat specifiek die PC opdraagt om content via http op te halen (dat soort fouten heb ik wel eens gezien met noscript aan: in de detectiecode of Javascript werd ondersteund door mijn browser, werd -vermoedelijk onbedoeld- content via http gedownload met "geen slotje" als gevolg).
09-04-2018, 09:16 door Tha Cleaner
Door Briolet: Safari is met de update van vorige week ook begonnen met de "niet veilig" melding op http sites waar een inlogveld op staat.

Zij zijn gelukkig zo verstandig geweest om deze melding niet te vermelden als je via een lokaal IP adres inlogt. b.v. op je eigen router of een ander lokaal apparaat.
Echter, alleen als je via een IP adres inlogt. Als je thuis een eigen dns server hebt en met een url inlogt die naar dat lokale IP wijst, zie je thuis nog steeds de "niet veilig" melding.
Daar zou Firefox nog wat van kunnen leren.... Volgens mij doet chrome dit ook, maar weet ik niet 100% zeker.
09-04-2018, 10:46 door SPer
Hoe kan ik dan snel vinden of een site een EV certificate heeft ?
09-04-2018, 11:01 door Bitwiper
Door SPer: Hoe kan ik dan snel vinden of een site een EV certificate heeft ?
Dan toont de browser op een PC, naast de URL, de naam van de organisatie - meestal in een groen vlak.

Helaas is dit niet altijd het geval bij browsers op smartphones en tablets (wegens ruimtegebrek). Door dan op het slotje te drukken krijg je vaak wel meer informatie te zien.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.