Lezersvraag: “Zo'n
slotje op een website, hoe belangrijk is dat? Laatst las ik iets over het
belang daarvan, ook bij sites die je alleen raadpleegt.” Tja, dat slotje in de
adresbalk van je browser is ‘best wel’ belangrijk. Het signaleert de werking
van een aantal belangrijke beveiligingsfuncties en zorgt er daarmee voor dat je
als gebruiker inzicht krijgt in je bescherming.
Achter het slotje gaat
een digitaal certificaat schuil (andere benamingen die je daarvoor kunt
tegenkomen zijn SSL-certificaat (oud) en TLS-certificaat (nieuw)). Zo’n
certificaat kun je zien als het paspoort van de site die je bezoekt. Een echt
paspoort wordt door de gemeente uitgegeven en overal ter wereld vertrouwen
overheden erop dat die gemeente secuur te werk is gegaan. Zo werkt het ook met
digitale certificaten, alleen worden die uitgegeven door bedrijven, die certification authority (CA), trusted third party (TTP) of trust service provider (TSP) worden
genoemd. Dat ‘trust’ geeft goed aan waar het om draait: het is een instantie
die het vertrouwen geniet van de partijen die veilig met elkaar willen
communiceren.
De eerste functie van
het certificaat is dan ook het identificeren van de site die je bezoekt. Dat is
nodig omdat er veel slechteriken online zijn die proberen om je op namaaksites
te krijgen, waar je bijvoorbeeld virusbesmettingen kunt oplopen. Als een
internetcrimineel een certificaat probeert te kopen voor het domein
microsoft.com of ing.nl, dan zal dat niet lukken omdat de
certificatenleverancier controleert of de aanvrager ook de eigenaar van dat
domein is. Zo niet, dan geeft hij geen certificaat af. Maar let op: als een
crimineel het domein hierwordjebesmet.nl op zijn naam heeft staan, dan kan hij
daar probleemloos een certificaat voor krijgen. Bij uitgifte wordt niet gekeken
naar de aard van de inhoud van een site. Het slotje betekent dus niet dat de
inhoud van een site veilig is!
Wat dan wel weer
veilig is – ongeacht de aard van de inhoud – is de communicatie tussen jou en
de site die je bezoekt. De verbinding wordt namelijk versleuteld. Dat doet je
browser automatisch voor je. Dat is de tweede functie waarbij het certificaat
een rol speelt. De versleuteling beschermt je tegen een man-in-the-middle attack, waarbij een aanvaller de verbinding
tussen jou en de webserver probeert af te luisteren. Zonder deze beveiliging
zou online bankieren kansloos zijn omdat onderweg allerlei gegevens zouden
kunnen worden gewijzigd.
Certificaten zijn er
in verschillende kwaliteiten, die gepaard gaan met verschillende prijskaartjes.
Bij de eenvoudigste certificaten, die iedereen online voor zijn site kan
bestellen, wordt alleen gecontroleerd of de aanvrager ook de houder van het
domein is. Maar bij bijvoorbeeld certificaten van de Nederlandse overheid komt
meer kijken; die vallen onder het stelsel van PKIoverheid (PKI = Public Key
Infrastructure). Er zijn maar vier bedrijven die PKIoverheid-certificaten mogen
leveren en die staan onder toezicht van de overheid. Om certificaten aan te
kunnen vragen moet een overheidsorganisatie zich eerst als zodanig bij de
leverancier registreren en vervolgens medewerkers aanwijzen die als
certificaatbeheerder mogen optreden. Er vindt face-to-face-controle plaats om de identiteit van de
certificaatbeheerders vast te stellen. Pas dan mogen zijn PKIoverheid-certificaten
bestellen.
Bij veel sites zie je
tegenwoordig dat (een deel van) de adresbalk in de browser groen is of dat de
letters in die balk gedeeltelijk groen zijn. Dan is er een EV-certificaat
gebruikt, waarbij EV staat voor extended
validation. EV biedt de bezoeker net als PKIoverheid meer zekerheid omtrent
de identiteit van degene die het certificaat heeft aangevraagd. Belangrijkste
verschil is dat je door de kleur meteen ziet dat een EV-certificaat is
toegepast.
Veel bedrijven willen
controle hebben over het internetgedrag van hun medewerkers, bijvoorbeeld om te
verhinderen dat malware binnenkomt door het bezoeken van besmette websites. Dat
werkt echter niet als een website versleuteld is omdat de informatie pas in de
browser van de gebruiker wordt ontsleuteld. Daarom passen bedrijven sessie-onderbreking toe. Als een
medewerker contact zoekt met een beveiligde website, dan begint en eindigt die
beveiliging niet in de browser, maar bij de ‘poort’ van het bedrijf. Het
interne gedeelte (van poort tot browser) kan door een intern certificaat
beveiligd zijn waardoor de gebruiker alsnog een slotje ziet. De verbinding is
echter niet privé: het bedrijf kan meekijken.
Er gaat dus een hele
wereld schuil achter het slotje. En ik heb nog niet eens alles verteld.
En in de grote boze buitenwereld …
... is de juridische status van mailen met de overheid niet echt helder.
... moet Nederland een cyberorgaan krijgen dat de verdediging tegen
digitale aanvallen op ons land coördineert.
... zijn de meningen
over het bovenstaande natuurlijk wel verdeeld.
... krijgt nu ook
België een cyberleger.
... is de cyberoorlog
een asymmetrische oorlog, en dat wordt alleen maar erger als de criminelen
gebruik gaan maken van kunstmatige intelligentie.
... vinden
drugsonderzoekers het geen goed idee als de politie de online drugshandel
onderuithaalt.
... hebben een aantal
tech-bedrijven de handen ineengeslagen om een groot Android-botnet uit de lucht
te halen.
... is er juridisch niets
mis met het kroketten- c.q. vlaaiprotocol.
... zijn zeven van de
27 cybersecurity-adviseurs van Trump opgestapt omdat ze niet serieus werden
genomen.
... vormt een nieuwe
batterij of een nieuw beeldscherm voor je kapotte smartphone een potentiële
ingang voor kwaadwillenden.
... geeft een online
geposte of weggegooide boarding pass veel informatie over de eigenaar – en
zelfs de mogelijkheid om vluchtgegevens te manipuleren.
Geen opmerkingen:
Een reactie posten