Beheer

Security

Https garandeert bij grote bedrijven geen veilige verbinding

30 oktober 2015
Kunnen we onze https-verbindingen met de grootste bedrijven ter wereld vertrouwen? Het antwoord van High-Tech Bridge: vaak niet.

High-Tech Bridge analyseerde het niveau van beveiliging van de https-verbinding van 161 bedrijven uit de lijst van 2000 grootste bedrijven ter wereld van Forbes.Bij de implementatie van SSL/TLS om een beveiligde verbinding op te  zetten snijden die bedrijven nogal wat hoekjes af. Dat ondergraaft de effectiviteit ervan.

Het goede nieuws: 77 procent van de onderzochte servers ondersteunt https. Hoewel: 23 procent ondersteunt het opzetten van en beveiligde verbinding niet. Andere bevindingen zijn net zo verontrustend. Zo blijkt

  • bijna 20 procent van de https-servers te werken met een certificaat dat niet vertrouwd wordt,
  • in slechts een derde van de gevallen Always-On SSL te zijningesteld - zodat bij twee derde er geen garantie is dat alle communicatie over https loopt,
  • niet meer dan een kwart een Extended Validation-certificaat te hanteren,
  • 18,5 procent nog kwetsbaar te zijn voor POODLE, een fout in de beveilgingsopzet die ruim een jaar geleden aan het licht kwam,
  • 12 procent de PCI DDS-voorschriften 2.3 en 4.1 van banken en credtcardmatschappijen na te volgen
  • slechts 2,4 procent de aanbevelingen van het National Institute of Standards and Technology op te volgen.

Per saldo krijgt net iets meer dan de helft een goede beoordeling (en A) van High-Tech Bridge Security Research. Op dat blog biedt het bedrijf ook een link naar een tooltje waarmee men het veiligheidsniveau van verbindingen met via SSL/TLS beveiligde websites kan vaststellen.

'DigiD en ABN Amro leken even kwetsbaar voor POODLE'

Een kleine test via dit tool van Nederlandse sites leverde opmerkelijke resultaten op. Digid.nl bijvoorbeeld was volgens het tool van High-Tech Bridge kwetsbaar voor POODLE en kent ook andere zwakheden. De site waar Nederlanders hun digitale identificatie richting overheid regelen, kreeg daarom als cijfer slechts een B. Een woordvoerder van Logius, dat zorg draagt voor DigiD, kan zich in een eerste reactie moeilijk voorstellen dat dit echt het geval is; Logius zoekt het op dit moment verder uit.

Update: Volgens Logius is DigiD níet kwetsbaar voor POODLE.Het wijst daarbij op een online test van Qualys, waaruit te concluderen valt dat digid.nl niet lijdt aan deze kwetsbaarheid. Op de test van Qualys scoort digid.nl een A-. Een vraag aan High-Tech Bridge om toelichting op deze discrepantie staat nog uit.

Update 2: Ook High-Tech Bridge is inmiddels van mening dat digid.nl niet kwetsbaar is voor POODLE. Dat blijkt uit een herhaling van de test op 2 november. High-Tech Bridge heeft geen verklaring gegeven voor deze aanpassing. Ook de score van ABN Amro, die eerst kwetsbaar heette voor POODLE, is aangepast. Bij gebrek aan reactie van High-Tech Bridge is onduidelijk wat dit betekent voor de melding dat 18,5 procent van de servers van grote sites nog kwetsbaar is voor POODLE.

Digid.nl en ABNamro.nl worden na aanpassing van de test door High-Tech Bridge gewaardeerd met een A. Ook de ING-site en Triodos krijgen een A. Rabobank, ASN en SNS krijgt een A+.




Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.