image

Overheid en SIDN verlengen akkoord over waarborging .nl-domein

donderdag 24 november 2022, 11:49 door Redactie, 6 reacties

Het ministerie van Economische Zaken en de Stichting Internet Domeinregistratie Nederland (SIDN) hebben het convenant over de waarborging van het .nl-domein tot 2029 verlengd. SIDN is sinds 1996 beheerder van het .nl-domein. Het convenant ziet toe op de continuïteit en stabiliteit van het domein, wat volgens het ministerie van groot belang is voor de Nederlandse maatschappij en economie.

Het eerste convenant stamt uit 2008. In 2015 is dit convenant, na een evaluatie, verlengd met een looptijd van zeven jaar. De afgelopen maanden is het convenant opnieuw geëvalueerd. Het ministerie zegt tevreden te zijn over de werking ervan en heeft besloten om het convenant te verlengen voor de periode tot 2029. Een van de belangrijkste conclusies uit de evaluatie is dat de stabiliteit van het .nl-domein in de afgelopen periode voldoende was geborgd.

De nameserverfunctie van het .nl-domein was ook in de afgelopen zeven jaar altijd bereikbaar. Deze functie zorgt ervoor dat internetgebruikers uitkomen bij de website die hoort bij de domeinnaam die ze invoeren in hun browser. Ook regelt deze verwijsfunctie dat e-mails gericht aan .nl-mailadressen op de juiste bestemming aankomen. "Door additionele maatregelen op basis van de vorige evaluatie en van buiten het convenant, is de continuïteit en stabiliteit van het .nl-domein verder versterkt", zo laat het ministerie weten.

"Het Nederlandse internetdomein is een van de grootste en veiligste domeinen in de wereld. Juist omdat het belang van het domein zo groot is voor ons land, is het een geruststellende gedachte dat we ons in het geval van ernstige calamiteiten die het .nl-domein bedreigen gesteund weten door het ministerie", zegt Roelof Meijer, algemeen directeur van SIDN. De Stichting is sinds 2019 onder de Wet beveiliging netwerk- en informatiesystemen (Wbni) aangewezen als aanbieder van essentiële diensten. Dat houdt in dat het beveiligingsincidenten moet melden en "passende maatregelen" moet treffen om systemen te beveiligen.

Reacties (6)
24-11-2022, 12:45 door Erik van Straten
Doordat DV (Domain Validated) https servercertificaten algemeen geaccepteerd zijn, en webbrowsers geen verschil laten zien met betrouwbaarder certificaten, is DNS een server-authenticatie-SPOF (Single Point Of Failure) geworden.

Zodra het aanvallers lukt om het IP-adres (of adressen) achter verzinhetmaar.nl in DNS naar hun eigen server te laten wijzen, hebben ze in een oogwenk een door elke browser geaccepteerd certificaat op hun server (je moet er niet aan denken dat ze een heel TLD zoals .nl kunnen overnemen).

Deze SPOF leidt er ook toe dat, bijvoorbeeld in minder democratische gebieden, misbruik gemaakt kan worden van DNS: als in zo'n gebied zowel een DV-cerificaatuitgever als eindgebruikers via DNS een aangepast IP-adres ontvangen voor bijvoorbeeld wikipedia.org, kunnen eindgebruikers die https://wikipedia.org/ openen (en een slotje zien) er niet meer van op aan dat het om de echte wikipedia.org gaat.

En als dan het om een site gaat waar je op inlogt, helpt zelfs WebAuthn (FIDO2 hardware key of PassKey) je niet om zo'n frauduleuze site te detecteren (de eigenaar van die fake site kan dan als jou inloggen op de echte site, en desgewenst jouw communicatie met de echte site doorzetten en meelezen, en naar wens wijzigen).

Met de toenemende afhankelijkheid van internet, "quick wins" (cryptovaluta), meer MFA en stijgende wereldwijde spanningen, neemt de kans op aanvallen op DNS toe. Ik hoop dat men beseft dat DNS een SPOF is voor server-authenticatie en men zich serieus gaat afvragen of dat niet moet veranderen (temeer omdat ook BGP-hijacks een risico vormen voor onterechte certificaatuitgifte - iets dat in de praktijk is aangetoond, zie https://arstechnica.com/information-technology/2022/09/how-3-hours-of-inaction-from-amazon-cost-cryptocurrency-holders-235000/).
24-11-2022, 13:50 door Anoniem
Door Erik van Straten: Doordat DV (Domain Validated) https servercertificaten algemeen geaccepteerd zijn, en webbrowsers geen verschil laten zien met betrouwbaarder certificaten, is DNS een server-authenticatie-SPOF (Single Point Of Failure) geworden.

Zodra het aanvallers lukt om het IP-adres (of adressen) achter verzinhetmaar.nl in DNS naar hun eigen server te laten wijzen, hebben ze in een oogwenk een door elke browser geaccepteerd certificaat op hun server (je moet er niet aan denken dat ze een heel TLD zoals .nl kunnen overnemen).

Deze SPOF leidt er ook toe dat, bijvoorbeeld in minder democratische gebieden, misbruik gemaakt kan worden van DNS: als in zo'n gebied zowel een DV-cerificaatuitgever als eindgebruikers via DNS een aangepast IP-adres ontvangen voor bijvoorbeeld wikipedia.org, kunnen eindgebruikers die https://wikipedia.org/ openen (en een slotje zien) er niet meer van op aan dat het om de echte wikipedia.org gaat.

En als dan het om een site gaat waar je op inlogt, helpt zelfs WebAuthn (FIDO2 hardware key of PassKey) je niet om zo'n frauduleuze site te detecteren (de eigenaar van die fake site kan dan als jou inloggen op de echte site, en desgewenst jouw communicatie met de echte site doorzetten en meelezen, en naar wens wijzigen).

Met de toenemende afhankelijkheid van internet, "quick wins" (cryptovaluta), meer MFA en stijgende wereldwijde spanningen, neemt de kans op aanvallen op DNS toe. Ik hoop dat men beseft dat DNS een SPOF is voor server-authenticatie en men zich serieus gaat afvragen of dat niet moet veranderen (temeer omdat ook BGP-hijacks een risico vormen voor onterechte certificaatuitgifte - iets dat in de praktijk is aangetoond, zie https://arstechnica.com/information-technology/2022/09/how-3-hours-of-inaction-from-amazon-cost-cryptocurrency-holders-235000/).
Tja DNS is al sinds conceptie in 1984 lek als mandje dat was toen ook al bekend tijdens Arpanet uitwerking gesprekken allen was de scope toen ook compleet anders.

DNSSEC en combi van transferlocks kan tot zekere mate helpen maar helaas zijn de protocollen gewoon niet opgewassen tegen de manier dat we er tegenwoordig mee omgaan en misbruik meegemaakt wordt. We zijn enkel maar druk met ducttape oplossingen verzinnen in de vorm van weer een extra protocol wat jaar later gaten bevat of juist als opendeur functioneert voor de volgende ellende.

En omtrent Domain validation TLS, Organization Validation TLS (OV) en Extended Validation EV TLS certificaten zijn net zo nutteloos als het om betrouwbaarheid gaat helaas. Het was wel een leuk verdien model waar menig ISP, hostingprovider aan verdient heeft (incl. wij) maar dat slotje en vroeger de bedrijfsnaam in de url zegt natuurlijk niks zonder dat iemand dieper in de certificaat samenstelling gaat zitten pluizen en ook exact weet wat er naar voren moet komen.

De verificatie was ook altijd bagger. KVK uitreksel en een nummer. Maar tig keer gehad dat een klant vergeten was zijn KVK uitreksel te updaten door de jaren inclusief contact adres waarna je belde naar je CA en doodleuk de verificatie doorgezet werdt met nieuwe gegevens die niet geverifieerd konden worden. En dan spreek ik over de grote namen Comodo/Sectigo, Digicert, Symantec etc alle procedures zo lek als maar kan. Dus DV is helaas net zo veilig.


Maar ik heb helaas geen oplossing hiervoor en tot nu toe niemand niet lijkt het. Het is waarschijnlijk wachten op de vervanger van het algehele internet als die er in ons leven uberhaubt nog komt. Ik denk eerder dat we nog lekker komende 50 jaar doormodderen en collateral damage voor lief wordt genomen tenzij we echt een keer een digitale apocalypse gaan meemaken. Met Mirai paar jaar terug en de befaamde DYN attack in 2016 was die angst er even toen paar root servers eruit vlogen in Amerika maar daar is men ook al wel weer van de schik van bekomen lijkt het want als het om crisis management gaat is er niet veel veranderd.
24-11-2022, 17:56 door Erik van Straten
Door Anoniem: DNSSEC en combi van transferlocks kan tot zekere mate helpen maar helaas zijn de protocollen gewoon niet opgewassen tegen de manier dat we er tegenwoordig mee omgaan en misbruik meegemaakt wordt.
Ik maak mij vooral zorgen over ongeautoriseerde toegang tot DNS-records of zelfs hele databases.

Door Anoniem: En omtrent Domain validation TLS, Organization Validation TLS (OV) en Extended Validation EV TLS certificaten zijn net zo nutteloos als het om betrouwbaarheid gaat helaas. [...] De verificatie was ook altijd bagger. KVK uitreksel en een nummer. Maar tig keer gehad dat een klant vergeten was zijn KVK uitreksel te updaten door de jaren inclusief contact adres waarna je belde naar je CA en doodleuk de verificatie doorgezet werdt met nieuwe gegevens die niet geverifieerd konden worden. En dan spreek ik over de grote namen Comodo/Sectigo, Digicert, Symantec etc alle procedures zo lek als maar kan. Dus DV is helaas net zo veilig.
Voor veilig inloggen roept bijna iedereen "MFA", waarom niet bij server-authenticatie?

Ik pleit niet voor een andere vorm van authenticatie voor server-certificaten, maar voor meerdere. Of andere dan DNS-checks zorgvuldig plaatsvinden, is een kwestie van het naleven van protocollen, daarop auditten en handhaving. Bovendien kun je het aanvallers lastiger maken door een delay in te lassen tussen DNS-check en afgifte van het certificaat (beter: een DNS-check bij aanvraag, delay, dan nog een DNS-check gevolgd door afgifte - mits alles okay is), en ook een money-trail kan helpen.

Zo'n vertraagde afgifte maakt niet alleen de kans van slagen van DNS-aanvallen kleiner, maar ook van BGP-hijacks; hoe langer het duurt voordat een nepserver een geldig certificaat heeft, hoe groter de kans dat bezoekers aan de bel gaan trekken.

Je krijgt authenticatie nooit 100% betrouwbaar, maar authenticatie t.b.v. servercertificaten kan echt beter dan nu het geval is. Als browsers duidelijk zouden maken (op basis van info in het certificaat) dat bijvoorbeeld microsoft-sso[.]net en microsoft-update[.]xyz niet van Microsoft zijn (zie bijv. https://crt.sh/?q=microsoft-update.xyz), dan zouden Authenticator-apps en zelfs 2FA met SMS meer zin hebben.
24-11-2022, 22:21 door Anoniem
Door Erik van Straten: ...
Certificaten waren oorspronkelijk bedoeld om de identiteit van de server zeker te stellen. In het begin was het ook helemaal
niet zo gemakkelijk om een certificaat te krijgen. Je moest door allerlei hoepels springen waar wellicht door een echt
kwaadwillende wel uit te komen was, maar je kon zeker niet "even" een certificaat voor een server krijgen.

Toen werd dat allemaal makkelijker gemaakt want het moest toegankelijker worden. DV werd bedacht, de oorspronkelijke validatie ging toen ineens EV heten, zodat men weer meer kon vragen aan de mensen die wilden hebben wat eigenlijk gewoon standaard had moeten zijn.

Tenslotte heeft Letsencrypt en het "alle sites moeten https zijn" het helemaal kapot gemaakt. De focus was alleen nog maar
op "de verbinding moet encrypted zijn", het aspect "de identiteit van de server moet onomstotelijk zijn" is helemaal vergeten,
ondanks dat dit heel belangrijk is (al was het maar om man-in-the-middle te voorkomen). Nu zijn we weer bij af en moet
alles opnieuw ontworpen worden, en moeten we weer hopen dat niet iemand het kapot maakt.
25-11-2022, 13:53 door Erik van Straten - Bijgewerkt: 25-11-2022, 13:56
Door Anoniem: [...] Letsencrypt [...] De focus was alleen nog maar op "de verbinding moet encrypted zijn", het aspect "de identiteit van de server moet onomstotelijk zijn" is helemaal vergeten, [...]
Dat ben ik niet met je eens. Indien bezoekers van organisatie X de exacte domeinnaam van de website van X kennen, geeft een DV-certificaat over het algemeen [*] redelijke zekerheid dat jouw browser daadwerkelijk verbinding heeft met een server van organisatie X.

[*] Hoe meer er voor aanvallers "te halen valt", hoe groter het risico voor bezoekers is dat zij, bij een correcte domeinnaam, op een nepsite met kennelijk geldig certificaat uitkomen. Dit soort aanvallen zijn niet eenvoudig uit te voeren, maar zoals ik in mijn bovenstaande bijdragen schreef, verwacht ik een toename hiervan.

De grootste tekortkoming van DV-certificaten is dat de verantwoordelijkheid om vast te stellen of een website met een gegeven domeinnaam wel of niet van organisatie X is, volledig bij bezoekers wordt gelegd - onder meer omdat X daar zelf geen moeite voor wil doen en/of geen geld aan uit wil geven. Dit ondanks dat aanvallen met nepwebsites aan de orde van de dag zijn, en niet alleen analfabete bejaarden hier intrappen. Mede omdat veel organisaties lukraak domeinnamen kiezen, moet je als surfer over forensiche vaardigheden beschikken om nep van echt te kunnen onderscheiden.

Een m.i. goed voorbeeld is circle-ci.com van afgelopen september (zie https://security.nl/posting/768888) waarbij een aanzienlijk aantal softwareontwikkelaars slachtoffer werd van een phishingaanval. Niemand neemt de verantwoording om bezoekers te helpen vaststellen dat de domeinnaam circle-ci.com niet van dezelfde organisatie is als met de domeinnaam circleci.com:
- Steeds meer website-eigenaren niet
- Browsermakers niet
- DNS-providers niet
- E-mail-providers niet
- SPF, DKIM en DMARC niet
- Zoekmachines niet
- Hosting-providers niet
- Certificaatverstrekkers niet
- Overheden niet

M.b.t. die laatste partij: we hebben (neem ik aan) niet voor niets een Kamer van Koophandel. Met de massale verschuiving van fysiek naar online verwacht ik dat overheden (gezien de duidelijk falende zelfregulering) maatregelen afdwingen om de online wereld minstens net zo veilig te maken - maar dat gebeurt niet.

En daarbij het gaat niet alleen om zakelijke websites. Als https://ggdghor.nl/ identiek lijkt aan https://ggd-ghor.nl/, en beide een Let's Encrypt certificaat hebben, wat is dan de echte GGD-GHOR website?

Bovenaan https://cisa.gov/ staat:
An official website of the United States government
Here's how you know

Official websites use .gov
A .gov website belongs to an official government organization in the United States.

Secure .gov websites use HTTPS
A lock (lock icon) or https:// means you've safely connected to the .gov website. Share sensitive information only on official, secure websites.
Dat laatste is natuurlijk onzin (https zegt iets over de verbinding, maar niets over de website). Bizar dat notabene de CISA dit soort idiote mythes in stand houdt.

Mijn punt is: van wie is een website als de domeinnaam niet eindigt op .gov maar bijvoorbeeld op .com of .nl?

YOU DON'T KNOW
02-12-2022, 00:13 door Anoniem
Door Erik van Straten:
Door Anoniem: [...] Letsencrypt [...] De focus was alleen nog maar op "de verbinding moet encrypted zijn", het aspect "de identiteit van de server moet onomstotelijk zijn" is helemaal vergeten, [...]
Dat ben ik niet met je eens. Indien bezoekers van organisatie X de exacte domeinnaam van de website van X kennen, geeft een DV-certificaat over het algemeen [*] redelijke zekerheid dat jouw browser daadwerkelijk verbinding heeft met een server van organisatie X.
... knip ...
Niemand neemt de verantwoording om bezoekers te helpen vaststellen dat de domeinnaam X-Y.nl niet van dezelfde organisatie is als met de domeinnaam XY.nl:
- Overheden niet
Ach, als de overheid zelf het niet de moeite waard vind hun 'eigen herkenbare CA root' te continieren (onder het mom van niet onze corebussiness, teveel gedoe, stel dat we iets fout doen) en het gebruik daarvan ook niet voor (semi) overheidsinstelingen verplicht te stellen, wat moet je dan nog verwachten?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.