Security Professionals - ipfw add deny all from eindgebruikers to any

Hostnet.nl gebruikt Self-signed Certificaten 'Omdat hun cliënten oude browsers gebruiken, anders zijn websites onbereikbaar!' aldus helpdeskmedewerker hostnet.nl

13-07-2019, 18:12 door Digidokter.net, 18 reacties
LS,

Uit de SSL report van SSL labs Qualys op een van mijn websites kreeg ik een B-rating omdat 'Certificate #2 1024 bits (SHA256wirhRSA) noSNI':

Mozilla,Apple,Android,Java,Windows:
Path #1: Not trusted (path does not chain to a trusted anchor)
1 Sent by server
Not in trust store odin.com Self-signed
Fingerprint SHA256: aade5c369fddffd6d41314d1922d6b347a5b491acc776cc50b7c964ea90f6a27
Pin SHA256: 8ab+w7XiME4ke0F2YGb4GmxLrnxNMseDHLYynZpO900=
RSA 1024 bits (e 65537) / SHA256withRSA
WEAK KEY

Ik heb hier discussie met www.hostnet.nl & www.hostnetbv.nl over.
Motivatie helpdesk medewerker: ''Omdat hun cliënten oude browsers gebruiken, anders zijn websites onbereikbaar!
& 'Wij gaan onze beveiliging niet upgraden, omdat 1% (ik onder andere) dat wenst!'

Drogredenen en ook einde discussie van hun kant!

En als tweede drogreden zei de helpdeskmedewerker "Die SSL reports moet u niet 'zo sereus nemen', onze site is ook niet optimaal/perfect"?!
Bijlagen:
https://www.cloudblue.com/odin/
https://www.youtube.com/watch?v=35UCWIFkBBQ
https://nl.internet.nl/site/hostnet.nl/563917/
https://www.ssllabs.com/ssltest/analyze.html?d=hostnet.nl
https://www.ssllabs.com/ssltest/analyze.html?d=hostnetbv.nl&s=91.184.0.100

Terwijl hun site's wel een A-rating hebben, moet ik volgens de helpdeskmedewerker "U moet alles 'gewoon' googlen, en zelf op mijn.hostnet.nl/diensten/ instellen" :(

Zo kan ik verantwoordelijkheid ook afschuiven, pure 'politiek' & 'machtsspelletjes'!
Zijn ook 'vriendjes' (AWARD in 2014 bron twitter) met www.odin.com....:
https://twitter.com/ThisisCloudBlue/status/438398266120896512

Dat is waarschijnlijk waarom ze hun abbo's zo laag in de markt kunnen zetten, je levert in op beveiliging en MIB atack!?

Over www.hostnet.nl & hostnetbv.nl
De conclusie

Op zich is er niets mis met de cijfers van Hostnet. Het is heel liquide, laat duidelijke groei zien en heeft prima ratio’s. Een mogelijk pijnpunt zit hem in de terugloop van de ratio’s en het weinig eigen vermogen. Dit zou er op kunnen duiden dat mogelijke tegenvallers slecht kunnen worden opgevangen. Moeten we ons dan zorgen gaan maken over Hostnet? Absoluut niet. Wanneer we namelijk de originele jaarcijfers erbij pakken zien we de verklaring al snel naar voren komen. Er is namelijk in 2013 een winstuitkering aan de aandeelhouders gedaan van 2,2 miljoen. Tel hierbij de stijging in de reserves van zo’n 50.000 euro bij op en je komt op een winst van bijna 2,3 miljoen. Bijna alle verdiensten van Hostnet zitten dus een verdieping hoger. Geen zorgen dus. We hebben gewoon een prima hoster voor ons liggen.

Sja, wat moet ik daarop zeggen (ddos-aanval, netwerkstoringen, Plesk-hackers, ?!:
https://tweakers.net/zoeken/?keyword=hostnet


Ik adviseer www.hostnetbv.nl & www.hostnet.nl maatregelen neemt en een verantwoordelijk 'Resonsible Disclosure' beleid opsteld ala www.tweakers.net (die nemen tenminste verantwoordelijkheid & staan open voor feedback over onze en hun veiligheid & beveiliging. En komen altijd hun beloften na!):
https://tweakers.net/info/responsible-disclosure/

Hoe staan de www.security.nl Profesionals tegenover deze opstelling van www.hostnet.nl ?! ben zeer benieuwd naar jullie feedback.... ;)
Reacties (18)
13-07-2019, 18:58 door Briolet
Motivatie helpdesk medewerker: ''Omdat hun cliënten oude browsers gebruiken, anders zijn websites onbereikbaar!

Websites zijn juist onbereikbaar met een self-signed certificaat. Moderne browsers maken het lastiger dan vroeger om een self-signed certificaat als vertrouwd toe te voegen.
13-07-2019, 21:31 door Bitwiper - Bijgewerkt: 13-07-2019, 21:49
Door Digidokter.net: LS,

Uit de SSL report van SSL labs Qualys op een van mijn websites kreeg ik een B-rating omdat 'Certificate #2 1024 bits (SHA256wirhRSA) noSNI':
[...]
Als ik Google naar aade5c369fddffd6d41314d1922d6b347a5b491acc776cc50b7c964ea90f6a27 vind ik een SSLLabs rapport van een eveneens bij Hostnet gehoste server met eveneens een score "B" (ik weet niet of dit een van jouw servers is). Die score is niet lager dan mogelijk door het self-signed certificaat, maar doordat de server geen forward secrecy ondersteunt ("This server does not support Forward Secrecy with the reference browsers. Grade crapped to B"). M.a.w. dat self-signed certificaat heeft er niets mee te maken dat je geen A score krijgt.

Als ik https://domeinnaam/ open in mijn browser, wordt dat self-signed certificaat geheel niet opgestuurd (vastgesteld met Wireshark). Dat gebeurt pas als ik https://IP-adres/ open, en kennelijk doet SSLLabs dat ook tijdens de test (ik heb dit overigens nog nooit eerder gezien).

Als ik met die laatste URL (IP-adres dus) in mijn browser door alle waarschuwingen heen klik (en tevens http content toesta), verschijnt een pagina die hierop lijkt:
HOSTNET
Oeps, je ziet deze pagina omdat:
- er geen hosting is voor dit domein bestaat;
- of de hosting is om administratieve redenen uitgeschakeld;
- of er is een probleem met je dienst op ons platform.
[...]

Het grootste probleem aan dat self-signed certificaat is niet dat het self-signed is, maar dat het een public key gebruikt van maar 1024 bits. Dat is veel te kort en wordt kraakbaar geacht. Op zich niet zo'n probleem, tenzij je dit certificaat tegenkomt om jouw webserver te beheren (bijv. via PLESK admin panel). Als dat zo is heb je redenen om Hostnet hierop aan te spreken.
14-07-2019, 17:03 door Anoniem
U vraagt om de opinie van security.nl professionals, echter die hebben we hier niet..
14-07-2019, 17:34 door [Account Verwijderd]
Door Anoniem: U vraagt om de opinie van security.nl professionals, echter die hebben we hier niet..

Je hebt de antwoorden van Briolet en Bitwiper niet gelezen? Of is dit weer zo'n vertraagde post omdat je als anoniem schrijft?
15-07-2019, 11:22 door Anoniem
Ik zit net te kijken, maar ik zie rating A+ voor:
https://www.ssllabs.com/ssltest/analyze.html?d=hostnet.nl
https://www.ssllabs.com/ssltest/analyze.html?d=hostnetbv.nl&s=91.184.0.100

Weliswaar worden er "weak ciphers" ondersteund, maar deze zijn "tweede keus". (ik zie overigens geen 1024 bit DH)
Dit wordt inderdaad gedaan om oudere browsers (meestal: oude apparaten) te blijven ondersteunen, maar is niet ongewoon. Er zijn er nog zat die met een oude browser werken.
Geheel afgeraden ciphers (bijv. RC4, DH 1024 bit) worden niet ondersteund.
De keuze is hier: totaal onbereikbaar zijn voor oude apparaten, of wel bereikbaar zij het wat minder veilig,
en dit betekent doorrgaans vooral minder veilig voor de bezoeker die met ouwe meuk werkt.

Er is slechts 1 ding dat echt niet klopt, en dat is een name mismatch op certificaat #2 van de website (www.)hostnet.nl.
En bijna net zo erg tegenwoordig is dat een http -connectie niet automatisch wordt omgezet naar https.

Er zijn meer dingen die "niet perfect" zijn, maar wat mij betreft niet waard om op dit moment een hele grote mond over op te zetten, al kan je er over zeuren dat het beter kan, maar dit kan je over heel veel meer websites zeggen.
15-07-2019, 12:31 door Briolet
Door Bitwiper:Als ik https://domeinnaam/ open in mijn browser, wordt dat self-signed certificaat geheel niet opgestuurd (vastgesteld met Wireshark). Dat gebeurt pas als ik https://IP-adres/ open, en kennelijk doet SSLLabs dat ook tijdens de test (ik heb dit overigens nog nooit eerder gezien).

Ik vertel je waarschijnlijk niets nieuws als ik zeg dat ze met virtual hosts werken waarbij meerdere sites op één IP zitten. Als je met IP inlogt zie je dus een certificaat die niet voor gebruikers bedoeld is. Of dat self-signed is maakt dus niets uit. Wel vreemd dat een testsite dit certificaat bekijkt.

Je hebt overigens geen wireshark nodig om dat self-signed certificaat te pakken te krijgen. Het gaat ook met het terminal commando:

openssl s_client -connect 91.184.0.44:443
15-07-2019, 14:18 door Anoniem
Het feit dat ze in 2014 een award hebben gekregen van de makers van Odin doet er m.i. niet toe.

Het certificaat is het standaard certificaat van het automation platform dat gebruikt wordt. Dit wordt niet alleen door Hostnet standaard gelaten. Zoek op de hash zoals Bitwiper heeft gedaan en je ziet dat er meerdere providers zijn die dit doen.

In de knowledge base van Cloudblue staat duidelijk uitgelegd hoe het certificaat aangepast moet worden

Als je berichten naar de provider overigens op dezelfde manier gana als deze openingspost dan snap ik dat je klacht niet behandeld wordt. Taalgebruik en zinsopbouw nodigen niet uit tot een normaal gesprek.
15-07-2019, 15:37 door Bitwiper
Door Anoniem: Het certificaat is het standaard certificaat van het automation platform dat gebruikt wordt. Dit wordt niet alleen door Hostnet standaard gelaten.
Ik heb afgelopen weekend niet verder gekeken, maar als meerdere partijen hetzelfde certificaat gebruiken, is het natuurlijk helemaal waardeloos (omdat de private key dan bij al die partijen bekend moet zijn - en wie weet bij wie nog meer). Je hoeft die 1024 bits RSA sleutel dan niet eens te kraken...

Door Anoniem: In de knowledge base van Cloudblue staat duidelijk uitgelegd hoe het certificaat aangepast moet worden
Jammer dat Cloudblue kennelijk niet afdwingt dat je een uniek sleutelpaar (van minstens 2048 bits) en self-signed certificaat -om die public key heen- genereert.
15-07-2019, 16:12 door Anoniem
Er zijn meer dingen die "niet perfect" zijn, maar wat mij betreft niet waard om op dit moment een hele grote mond over op te zetten, al kan je er over zeuren dat het beter kan, maar dit kan je over heel veel meer websites zeggen.

Vragen stellen, als klant, over de beveiligingsmaatregelen heeft weinig van doen met ''een grote mond opzetten''. En of anderen, waar je niet mee te maken hebt als klant, het beter doen is weinig relevant.
15-07-2019, 16:14 door Anoniem
U vraagt om de opinie van security.nl professionals, echter die hebben we hier niet..

Spreek namens jezelf, en niet namens anderen s.v.p.
15-07-2019, 17:34 door Anoniem
Door Anoniem:
Er zijn meer dingen die "niet perfect" zijn, maar wat mij betreft niet waard om op dit moment een hele grote mond over op te zetten, al kan je er over zeuren dat het beter kan, maar dit kan je over heel veel meer websites zeggen.

Vragen stellen, als klant, over de beveiligingsmaatregelen heeft weinig van doen met ''een grote mond opzetten''. En of anderen, waar je niet mee te maken hebt als klant, het beter doen is weinig relevant.

Sorry, dat bedoelde ik niet.
Ik had het daarbij niet over "vragen stellen als klant" maar over "meer dingen die niet perfect zijn" aan hostnet.
En die dingen ga ik hier dus niet onnodig uitvergroten of er over doorzeuren, en dat raad ik anderen ook aan.
(tenzij er echt een hele goede reden voor is om in uw geval het neusje van de zalm te eisen,
maar waarschijnlijk zal je dan in de eerste plaats al niet naar hostnet toe gaan)
15-07-2019, 17:42 door Anoniem
De nadelen van zelfgesigneerde certificaten.

1. Deze certificaten worden niet vertrouwd door andere applicaties/operationele systemen. Dit kan leiden tot authenticatie fouten etc.

2. Zelfgesigneerde certificaten zijn meestal voor 1 jaar. Deze certificaten moeten dus elk jaar worden vernieuwd/vervangen, ergo nogal wat werk om ze bij te houden.

3. Zelfgesigneerde certificaten kunnen zwakkere hash en cipher technologieen gebruiken. Daarom, kan het veiligheidsniveau dat geimplementeerd wordt via zelfgesigneerde certificaten vaak niet voldoen aan de gevoerde Security Policy etc. Dit noemt bovenstaand met name onze vriend, Bitwiper als bezwaar.

4. Geen support voor geavanceerde PKI (Public Key Infrastructure) functies (o.a..het online checken van de herroepingslijst (revocatielijst) etc.).

5. De meer geavanceerde kanten van applicaties aan de server kant zijn afhankelijk van een bepaalde PKI (Public Key Infrastructuur). Daardoor, kunnen de voordelen van een zelfgesigneerde certificaat niet goed worden uitgebuit.

Info-broncredits: Acmetek support.

#sockpuppet
15-07-2019, 21:41 door Anoniem
Nog een paar zaken mis op dat domein: 2 fouten en 6 waarschuwingen:
https://mxtoolbox.com/domain/hostnet.nl/

luntrus
16-07-2019, 09:51 door Bitwiper
@luntrus: dat een hoster als hostnet.nl geen DMARC record publiceert, is nauwelijks een probleem voor haar klanten (het betekent alleen dat een e-mail van een afzender @hostnet.nl mogelijk eenvoudiger gespoofd kan worden).

Door Anoniem (#sockpuppet): De nadelen van zelfgesigneerde certificaten.
Er bestaan legitieme toepassingen voor self-signed certificaten.

Bijvoorbeeld elke Android app (apk file) bevat een self-signed certificaat (de apk file is digitaal ondertekend met de private key horende bij de public key in het certificaat). Dit bewijst geenszins dat de auteur is wie hij zegt dat hij is, maar toont aan dat updates van die app afkomstig zijn van dezelfde auteur (onder voorwaarden, o.a. dat de private key niet gelekt wordt). Deze certificaten hebben een zeer lange geldigheidsduur (30 jaar als ik me goed herinner).

Ook kun je (terecht) geen "commercieel" certificaat verkrijgen voor webservers die geen gegarandeerd unieke FQDN hebben (bijvoorbeeld .local als TLD of die alleen benaderbaar zijn via een IP-adres, denk aan netwerkapparatuur waaronder thuisrouters).

Niets (behalve kennis en tijd) belet je overigens om, voor eigen gebruik, zelf een PKI te bouwen en desgewenst revocation services toe te voegen.

Nb. hiermee praat ik het self-signed certificaat van hostnet genoemd door de TS niet goed, want dat is op z'n minst slordig en verwarrend - en schandalig als het concreet ergens gebruikt wordt om een of meer servers mee te "authenticeren".
16-07-2019, 11:32 door Anoniem
Door Anoniem: De nadelen van zelfgesigneerde certificaten.

2. Zelfgesigneerde certificaten zijn meestal voor 1 jaar. Deze certificaten moeten dus elk jaar worden vernieuwd/vervangen, ergo nogal wat werk om ze bij te houden.

Hoe kom je daar nou toch bij? Het voordeel van een zelfgesigneerd certificaat is juist het omgekeerde: dat je zelf kunt
bepalen hoe lang het geldig is zonder gebonden te zijn aan termijnen die de uitgever vaststelt. Je signed het immers
zelf en je kunt zelf tegen openssl (of wat je ook gebruikt) vertellen wat de geldigheidstermijn is.
16-07-2019, 11:36 door Anoniem
Door Bitwiper:
Door Anoniem: Het certificaat is het standaard certificaat van het automation platform dat gebruikt wordt. Dit wordt niet alleen door Hostnet standaard gelaten.
Ik heb afgelopen weekend niet verder gekeken, maar als meerdere partijen hetzelfde certificaat gebruiken, is het natuurlijk helemaal waardeloos (omdat de private key dan bij al die partijen bekend moet zijn - en wie weet bij wie nog meer). Je hoeft die 1024 bits RSA sleutel dan niet eens te kraken...

Dit certificaat wordt natuurlijk normaal ook nergens voor gebruikt, het moet er alleen zijn om een https sessie zonder
hostnaam mogelijk te maken en wellicht om een foutsituatie in de gebruikte software te voorkomen.
De gehoste virtuele webservers hebben natuurlijk WEL een goed certificaat.
16-07-2019, 12:38 door Anoniem
@Bitwiper,

Begrepen en bedankt over je verdere uitleg over certificeringen, DMARC records en PKI (in tegenstelling tot wat men hierboven beweert, dat security.nl posters geen experts binnen de gelederen van de posters heeft, ben jij in mijn ogen toch wel vrij goed op de hoogte en professioneel bezig rond het aangeven van slordigheden hier in daar en in dit geval rond een zelfgesigneerd certificaat).

Amerikanen hebben voor slordigheid in deze betekenis zo'n mooi woord "sloppiness" en dat is precies wat er bedoeld is.

Mijn insteek en mijn ervaring (14 jaar) ligt op het gebied van malware fighting 3rd party cold reconnaissance website security en website fouten-jagen. Ik heb niet zo'n hoge pet op van de vaak minimale prestaties, ook wat betreft hun website. Het leverde 383 hints op bij het linten hier: https://webhint.io/scanner/d88ae050-40ea-4dc5-99b2-5215a8875523 met op het gebied van veiligheid 87 hints: https://webhint.io/scanner/d88ae050-40ea-4dc5-99b2-5215a8875523.

Het eerste dat je dan vaak als reactie terug krijgt, "webhint is een str*nt linter, ik neem zo'n experimentele tool helemaal niet serieus" (Neem SNYK en YARA maar niet serieus!). Meestal gaat men gelijk in de denial-mode, vaak direct "downplayen" en arrogant vragenof het soms niet direct offline kan, want wat als de baas of de staf de onprofessionaliteit zou bemerken. Vaak gaan arrogant zijn en ook brutaal nog samen met grotendeels gespeend zijn van de nodige kennis.
Dan moet je dus op een andere manier je gelijk proberen te halen.

Dus dan ligt zoiets als wat jij als "slordigheid" aangeeft wel in de lijn der verwachtingen. Overigens weer bedankt voor je waardevolle verduidelijkingen. Iedereen die er goed notie van wil nemen, heeft er weer iets van opgestoken en zo groeien we samen in kennis hier, wat kennelijk de missie is van deze site.

Deden maar meer mensen dit, dan werd de digitale omgeving vast al wat veiliger. Jezelf vergeten in flame wars en OS welles-nietes spelletjes gebeurt in andere postings wel en tevens wat al te vaak. Nogmaals dank voor je bijdrage weer,

m.vr.gr.

luntrus
16-07-2019, 13:19 door Anoniem
@ anoniem van 11:36

Dat is leuk voor een competente aanvaller zo'n https sessie zonder hostnaam.
We wachten op de tips en tunnels.

J.O.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.