Toen een veiliger Internet een duwtje in de rug kreeg dankzij de Firefox 51 en Chrome 56 releases met beveiligingswaarschuwingen voor websites die geen gebruik maakten van HTTPS met SSL certificaten, leek het de goede richting uit te gaan. Helaas spelen phishing en scam sites in op de trend en zijn zelfs deze sites “secure en geëncrypteerd”.
Phishing websites met geldige certificaten in opmars
In een bericht van Netcraft op 17 mei 2017 wordt aangehaald dat er een stijging is van 5% naar 15% en zelfs een piek van 20% phishing websites die gebruik maken van https, sinds de introductie van de beveiligingswaarschuwingen in Chrome en Firefox op 26 januari 2017.
Phishing sites met HTTPS in opmars sinds 26 januari 2017 – Grafiek (c) Netcraft.com
Om het probleem nog ingewikkelder te maken dan het al is: de phishing websites maken bovendien gebruik van vertrouwde Certificate Authorities zoals Let’s Encrypt en Comodo.
De populariteit van Let’s Encrypt is ook meteen het zwakke punt geworden: het is heel eenvoudig om een geldig, door webbrowser vertrouwd certificaat te verkrijgen voor een beperkte tijd. Hoewel het fantastisch is voor geautomatiseerde hernieuwing services, is het meteen ook een magneet voor organisaties en/of individuen met minder goede intenties zoals phishing websites. Als reactie op Let’s Encrypt’s “gratis” certificaten biedt Comodo de zogenaamde Trial Certificaten aan welke geldig zijn voor 90 dagen. Maar, zoals altijd, “gratis” is meestal te goed voor woorden.
Top 10 phishiest certificate authorities, helaas leiden Let’s Encrypt (Geel) en Comodo (Blauw) de weg.
Let’s Encrypt maakt gebruik van de Safe Browsing API om na te gaan of een uitgereikt certificaat geldig kan beschouwd worden, maar dit is een check die meestal plaats vindt voor de ongeldige inhoud van de sites gepubliceerd is, en is dus alles behalve sluitend.
Aangezien webbrowser gebruikers geoefend zijn in het kijken naar een “geldig” en “veilig” slotje or adres lijkt het of de website die zij bezoeken zeker correct is. Dit maakt het probleem des te ernstiger, daar de scam websites gebruik maken van TLS én geldig zijn.
Wat kan er gebeuren?
Hoewel bepaalde Certificate Authorities zeggen dat het niet de taak is van de CA om te kijken of het uitgereikste certificaat geldig is op vlak van inhoud, kunnen we niet ontkennen dat dit een probleem kan worden. Maar als je naar het grotere plaatje kijkt, was het een te verwachten probleem. We spreken over DV, Domein Validatie certificaten… ze zijn goedkoop (of gratis) en de validatiemethode is, om eerlijk te zijn, nogal beperkt (een eenvoudige mail of dns check is vaak voldoende om te starten).
In het slechtste geval komt er een dag dat browsers geneigd zijn om het root certificaat van de Certificate Authorities te gaan verwijderen uit de browser, met alle gevolgen van dien.
Ons advies is dan ook om geen beroep te doen op de “goedkoopste” SSL certificaat opties, tenzij u weet waar u mee bezig bent of waarvoor het SSL certificaat zal gaan dienen en u kan leven met het feit dat het ooit een probleem zou kunnen worden.
Als u een organisatie of bedrijf heeft en u wenst een andere richting uit te gaan dan zijn er nog altijd de minder goedkope Domein Validatie certificaten of de meer betrouwbare Organisatie Validatie certificaten. Voor de eindgebruiker geldt steeds de gouden regel: kijk steeds, en we bedoelen echt STEEDS het adres na in de adresbalk! Er is zoiets als een “Deceptive Domain Score” die aangeeft hoe onbetrouwbaar een domein is.
Vraag een geldig – geen gratis, sorry – SSL certificaat aan bij Kinamo. En, gezien de omstandigheden, suggereren we met plezier GlobalSign!