Beheer

Security
https

'Websites met groen slotje niet per se veilig'

SSL-certificaat makkelijk voor een nepsite te krijgen

4 juni 2018

SSL-certificaat makkelijk voor een nepsite te krijgen

Websites die eruitzien alsof ze goed zijn beveiligd, omdat er voor het webadres een groen slotje staat, zijn dat niet altijd. Dat meldt de NOS, die er onderzoek naar deed. Bijvoorbeeld banken adviseren mensen altijd te letten op dat groene slotje.

De NOS onderzocht duizenden websites die op zwarte lijsten staan. Meer dan 4300 hadden het predicaat veilig, omdat ze het benodigde SSL-certificaat hadden. Dat certificaat is voor iedereen te krijgen, vaak gratis en binnen enkele seconden te regelen. Daarmee is wel de verbinding beveiligd maar het groene slotje zegt niets over doel of de technische staat van de website zelf.

Kwaadwillenden kunnen dus makkelijk een nepsite opzetten en daar een certificaat voor aanvragen. Om dat te demonstreren registreerde de NOS de sites  'mijn-ing.nl', 'bankierenrabobank.nl' en 'binck-bank.nl". Die lijken sterk op de echte loginpagina's 'mijn.ing.nl' en 'bankieren.rabobank.nl' en zijn netjes voorzien van een werkend certificaat en dus van een groen slotje. Voor een consument is het verschil eigenlijk niet te zien. Het beste is om bij belangrijke sites als de bank het webadres met de hand in te tikken en er een favoriet (bookmark) van te maken.

Een woordvoerder van het Cyber Security Centrum zegt het toe te juichen dat steeds meer websites een beveiligde verbinding hebben. Maar het centrum ziet dat "steeds meer malafide websites daar gebruik van maken, om zich voor te doen als betrouwbaar."

Lees meer over
Lees meer over Beheer OP AG Intelligence
3
Reacties
Erwin 04 juni 2018 18:50

Er moeten dus meer kleuren slotjes komen. Bijvoorbeeld Groen voor Domain Validation van een 'highly trusted CA', een blauw slotje voor een 'Medium Trust CA (zoals LetsEncrypt), en bijv Oranje voor een EV certificaat. Gebruikers kijken niet naar de 'extra naam', maar de kleur van een slotje zegt ze veel meer.

Lezer#5519 Remmelzwaal 04 juni 2018 15:09

Er zijn twee soorten groene slotjes: Enkel het groene slotje of groen slotje MET organisatie naam. De laatste hebben een 'Extended Validation' process doorlopen. Serieuze organisaties gebruiken de laatste zoals banken. Op hun websites staat vaak plaatjes die dat laten zien. (voorbeeld SNS: https://www.snsbank.nl/particulier/oversns/veilig-bankieren/veilig-inte…)

In het verleden is de waarschuwingsreclame te eenvoudig geweest en dat blijft misschien bij de mensen hangen. Tijd voor een nieuwe campagne?

De NOS is m.i. met dit onderzoek te kort door de bocht gegaan en genereert onnodig onrust, het wordt weer komkommer tijd blijkbaar.

Johan 04 juni 2018 12:19

Tja, zolang er zoveel CA's vertrouwd worden, en er geen strikte regels zijn voor domain name validation, blijft dit natuurlijk een probleem. Het verbaast me eigenlijk meer dat mensen er verbaasd over zijn.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.