b_64Het programma Netwerk heeft vrijdagavond samen met Byte een artikel gemaakt over EV-SSL. De strekking is dat websites hun identiteit duidelijker kunnen presenteren aan hun bezoekers. Met Extended Validation SSL wordt niet het verkeer alleen versleuteld, maar weet je ook met wie je zaken doet. Meer informatie over EV-SSL op ons blog.

Het lijkt een goed idee om niet meer 3xkloppen.nl te doen, maar 4x kloppen (Groene Balk). Een voorbeeld van deze Groene Balk is te vinden op service.byte.nl of ING Bank.

Meer informatie over het oorspronkelijke artikel op:

http://netwerk.tv/uitzending/2009-07-17/internetbankieren-websites-banken-onvoldoende-beveiligd

Wat is het punt dat Byte wil maken

  1. 3xkloppen.nl is een goed begin, maar nog niet genoeg.
  2. De controle van "het slotje" alleen is te beperkt:
    • Je kunt (als provider of zelfs als particulier via je provider) eenvoudig SSL certificaten aanvragen. Deze kun je gewoon aanvragen voor een naam waarop al een officiĆ«le site draait, bijvoorbeeld voor Rabobank.nl.
    • Er wordt niet gecontroleerd wie deze aanvraag doet.
  3. Daarnaast zijn er verschillende methoden om internetverkeer om te leiden:
    • Kraken van ADSL/Kabelmodems.
    • Op de thuis-PC via een trojan horse.
    • Op netwerkniveau (WLAN, netwerken).
    • Via zwaktes in DNS.
  4. Wanneer jouw internetverkeer door een hacker wordt omgeleid naar een nepsite, dan zie je dit niet. Je ziet de goede URL/domeinnaam en je ziet netjes een slotje, als de hacker hiervoor een SSL certificaat heeft aangevraagd.
  5. Zou je op dergelijke sites een Extended Validated SSL certificaat zetten en gebruikers vragen hier op te letten ("Let op de Groene Balk en kijk of hier de juiste naam staat"), dan zou:
    • De aanvrager worden gecontroleerd.
    • In de browser de naam van de aanvrager verschijnen.

Internetverkeer kan hierdoor veel minder makkelijk worden omgeleid naar een nepsite. Althans, het is in ieder geval niet zonder meer mogelijk om een EV-SSL aan te vragen voor Rabobank.nl, omdat de aanvrager hiervan gecontroleerd wordt. Zie je een Groene Balk met Rabobank.nl, dan weet je dus zeker dat dit daadwerkelijk de website van de Rabobank is en niet een nepsite van een hacker met een goedkoop standaard SSL Certificaat.

Check de Groene Balk! 4x kloppen dus!

Vragen en antwoorden ter verduidelijking

Is Internetbankieren nu lek?

Ja en nee. Er zijn op dit moment geen aanwijzingen dat van bovenstaande misbruik wordt gemaakt. Maar het is wel mogelijk om met bovenstaande truc onfrisse acties uit te halen.

Wat moet ik doen?

Vraag je bank of ze deze extra stap willen zetten. Het is voor een organisatie 1-2 weken werk om een dergelijk extra veilig certificaat aan te vragen. Daarnaast kost dit hen slechts een paar honderd EURO per jaar. Aan de kosten zal het dus niet liggen.

Het certificaat van Digid.nl is toch veilig

De reactie van Digid.nl op de uitzending mist de essentie. Het certificaat van Digid.nl is prima veilig, maar je weet als gebruiker niet zeker of je verbinding hebt met de echte Digid.nl site, omdat de aanvrager hiervan niet gecontroleerd is. Hopelijk zal ook Digid.nl spoedig een EV-SSL certificaat installeren.