Google test weglaten https-slotje in adresbalk van Chrome

Google test het weglaten van het slotje bij de URL-balk van Chrome, dat aangeeft dat een verbinding via https verloopt. In plaats daarvan gebruikt het bedrijf een pijl die als erop wordt geklikt, informatie over de verbinding geeft. Volgens Google werkt het slotje verwarrend.

Google verwijst naar de uitkomst van eigen onderzoek als reden voor de test. Daaruit zou blijken dat slechts 11 procent het slot-icoontje correct associeert met de aanwezigheid van een https-verbinding. Gebruikers zouden veelvuldig de incorrecte conclusie trekken dat de site zelf betrouwbaar is.

Daarnaast is Google het gebruik van het slotje aan het heroverwegen, omdat we volgens het bedrijf naar een https first-toekomst gaan. Zo krijgt Chrome 94 een https first-modus, waarbij de browser alle verbindingen via https probeert te laten verlopen en paginagrote waarschuwingen toont als dat mislukt. Firefox heeft zo'n modus al sinds versie 83.

Chrome 93 krijgt als test geen slotje bij https-verbindingen, maar een pijl waarmee een gebruiker meer informatie over de verbinding kan opvragen. Google hoopt dat deze informatie zo beter vindbaar is. Als er geen https-verbinding is, toont Chrome nog steeds een waarschuwing.

Chrome 94 slotje weg

Reacties (115)

teek2

15 juli 2021 15:14

Een goede beslissing, als ze dan wel iets groens neerzetten als er extended validation is gedaan. Dat beschermt namelijk echt tegen fraude. Een geldig ssl cert bewijst alleen de de domeinnaam bij het IP adres hoort, letsencrypt maakt dat makkelijker dan ooit maar het betekend niet dat je raboba.nk kunt vertrouwen. Als het goed is krijgt raboba.nk echter geen extended validation certificaat.

Al die sms-jes die zeggen dat mijn pas is verlopen hebben steevast een slotje maar nooit extended validation. Wat achtergrond:

EV certificates can be issued only by a subset of certificate authorities and require verification of the requesting entity's legal identity before certificate issuance. As of February 2021, all major web browsers have menus which show the EV status of the certificate and the verified legal identity of EV certificates. Bron: https://en.wikipedia.org/...ed_Validation_Certificate

[Reactie gewijzigd door teek2 op 23 juli 2024 03:08]

Gerco

@teek2 • 15 juli 2021 15:49

Behalve dan wanneer ik een bedrijf "Rabobank" opricht in Uzbekistan en dan vrolijk een EV certificaat uitgereikt krijg van de betreffende CAs. Dan heb ik dus een EV certificaat met "Rabobank" erop, maar het is niet de Rabobank die men verwacht. EV certificaten zijn ook niet zaligmakend.

ejabberd @Gerco • 15 juli 2021 21:33

Ik neem aan dat Rabobank haar handelsmerk wereldwijd geregistreerd heeft, dat de CA's bij nieuwe aanvragen kijken of de aanvraag geen handelsmerk schend, en dat Rabobank een procedure heeft voor wanneer een CA toch een certificaat zou uitreiken waarin hun handelsmerk zonder toestemming is gebruikt. In de stijl van "betaal ons sowieso zoveel miljoenen voor onze imagoschade en revoke dat certificaat binnen 5 minuten of maak kennis met ons hele advocatenteam".

Jeroen73 @ejabberd • 16 juli 2021 07:35

Dat zijn drie aannames: de eerste zal zeker zo zijn, de tweede vrijwel zeker niet en de derde treedt pas in werking nadat de eerste slachtoffers aangifte gedaan hebben. De categorie bedrijven die een Rabobank in Uzbekistan oprichten doen dat niet met een de intentie om ooit miljoenen aan imagoschade te gaan betalen, dat staat gewoon op naam van de lokale Pjotr Katvangerski.

ejabberd @Jeroen73 • 16 juli 2021 08:10

Mijn punt is dat Rabobank zich in eerste instantie zal richten tot de CA en niet tot de waarschijnlijk moeilijker grijpbare criminelen.

Zelfs de dreiging dat zoiets kan gebeuren, zal vandaag elke CA ertoe aanzetten om dit goed te controleren.

willyb @Jeroen73 • 16 juli 2021 21:09

Mijn gok zou zijn dat de derde een seconde intreed nadat het certificaat op crt.sh zichtbaar wordt en zeker niet pas na een slachtoffer.

Verwijderd @Gerco • 15 juli 2021 22:12

In de URL-balk van browsers werd destijds, in het groene deel, ook het land getoond.

Bovendien zijn er strenge eisen (PDF) waar uitgevers van EV certificaten aan moeten voldoen.

Het uitgeven van een EV cert voor een "lijkt op" domeinnaam kan ze vermoedelijk al problemen bij audits opleveren, laat staan voor een domeinnaam die tot aan de TLD identiek is aan die van een internationaal bekende bank (die je zo vindt door bijv. in Google rabobank in te tikken - een heel simpel onderzoekje voor certificaatboeren).

Samoerai @teek2 • 15 juli 2021 15:53

helaas al een tijdje achterhaald. EV certificaten zeggen ook niets over de veiligheid. Je kunt namelijk in een ander land (of met een ander doel) een bedrijf opzetten met een bekende naam en dan kun je gewoon een EV certificaat krijgen.

https://www.bleepingcompu...elievable-phishing-sites/

[Reactie gewijzigd door Samoerai op 23 juli 2024 03:08]

SleutelMan

@Samoerai • 15 juli 2021 20:44

Of in een andere staat. Zoek maar eens op Stripe.inc en EV-certificaten... welke staat in de VS moet je dan hebben? ;-)

willyb @Samoerai • 16 juli 2021 21:05

Bij e-mail wordt nu juist ingezet op BIMI.
Misschien goed als EV certificaten met logo’s op die manier beschikbaar komen voor specifieke sectoren?

Jester-NL @teek2 • 15 juli 2021 15:48

Het (direct zichtbare) onderscheid tussen een site beveiligd met een DV en een EV is sinds 2017 al afgeschaft in Safari. In 2018 was Google de eerste die het 'voorbeeld' van Apple volgde.
Ergens is het heel jammer dat het CAB-forum (overlegorgaan tussen certificaatauthoriteiten en browserbouwers) daarin meegegaan is indertijd, want het resultaat is duidelijk: iedereen en zijn moeder kan voor een appel en een ei een domeinnaam registeren. Hosting is ook niet iets waar je veel geld aan kwijt bent, en een (DV-)certificaat is binnen seconden gratis geplaatst. (Waarbij een controle zoals die vroegah bij een CA werd gedaan (het ging je (als het goed was) niet 1-2-3 lukken om een certificaat te krijgen op rabo-bank.paschecker.nl).

In combinatie met browserbouwers die het tonen van slotjes en gekleurde adresbalken al jaren een vreselijke inbreuk op hun UI vinden (net als een duidelijke URL in de adresbalk (waarom eigenlijk knoppen en een adresbalk...) is het tegenwoordig steeds makkelijker om ook mensen die goed (willen) opletten te belazeren.

Sannr2 @Jester-NL • 15 juli 2021 18:11

Je kan toch zonder enig probleem een wildcard certificaat voor *.paschecker.nl krijgen, dan zit die rabobank variant daar toch ook meteen in? Dat is toch nooit een probleem geweest?

casberrypi @Sannr2 • 15 juli 2021 20:54

EV wildcard certificaten bestaan niet.

P_de_B @teek2 • 15 juli 2021 16:38

Dit was begin jaren 90 misschien zo, maar inmiddels echt niet meer. Zie: https://www.troyhunt.com/...s-are-really-really-dead/

latka @teek2 • 15 juli 2021 15:34

Dat groene balkje/slotje is er jaren geleden al uitgehaald. Geen idee waarom ze dat toen gedaan hebben (zal wel niet gepast hebben in de kleurenvisie van de ontwerper ofzo).

teek2

@latka • 15 juli 2021 15:48

Het normale slotje (verkregen met een Domain Validated [DV] Certificate [0]) zegt ook niks met betrekking tot betrouwbaarheid. Het is eerder vreemd dat ze niet meer zichtbaarheid geven aan verbindingen die via EV certs lopen. Bijv in Firefox nu, als ik naar Rabobank.nl ga, zie ik een grijs slotje. Maar als ik blijf graven vind ik toch dat ze een EV cert gebruiken [1]. Dat verschil tussen DV en EV certificaten zou veel beter zichtbaar moeten zijn. Heel raar dat we mensen altijd hebben geleerd te kijken naar "een slotje", en dat browsers het verschil blijkbaar ook niet belangrijk vinden. Ik vermoed dat dat nog wel gaat veranderen. Al was het vroeger wel echt een veel groter groen vlak bij een EV cert... Nu ik er over nadenk is dit wel heel erg vreemd, want wat is het nut nog van een EV cert, het doel was fraude voorkomen, nu is het alleen nog duurder...

[0] https://en.wikipedia.org/wiki/Domain-validated_certificate
[1] klik door op slotje, dan op connection secure, more information, view certificate (in Engelse Firefox)

[Reactie gewijzigd door teek2 op 23 juli 2024 03:08]

Eagle Creek

@teek2 • 15 juli 2021 15:51

Dat verschil tussen DV en EV certificaten zou veel beter zichtbaar moeten zijn. Heel raar dat we mensen altijd hebben geleerd te kijken naar "een slotje", en dat browsers het verschil blijkbaar ook niet belangrijk vinden. Ik vermoed dat dat nog wel gaat veranderen.

Dit "nog wel veranderen" en "beter zichtbaar maken" is dan volledig tegen de stroom in van de ontwikkelingen van afgelopen jaren. Google loopt duidelijk voorop en gezien de plek van het techbedrijf en dominantie op de browsermarkt lopen veel browsermakers hier achteraan.

Als je kijkt naar een jaar of 5 geleden, hadden alle grote browsers (IE, Firefox, Safari, Chrome, Edge) duidelijke toeters en bellen om het onderscheid in certificaten te tonen. Een slotje werd overal gepromoot, https-voorvoegsel was duidelijk zichtbaar én EV-certificaten toonden, afhankelijk van de browserboer, zich duidelijk onderscheidend. Deze onderscheidingsmiddelen zijn sinds de introductie van EV-certificaten medio 2010 ook langzaam uitgebreid middels een groene balk, groene URL, uitgebreid bedrijfsprofiel, etc.

Zie o.a. deze zeer duidelijke afbeelding: https://www.cheapsslcoupo...-Certificate763460181.png

Onder leiding van Google's Chrome is een enorme afbraak gestart van alle visuele aanwezigheid van de informatie en details rondom TLS/SSL/https en de certificaattypen.

Medio 2017 werden certificaatdetails onder een developermenu gestopt:
https://www.thesslstore.c...ate-details-in-chrome-56/

Medio 2018 is het voorvoegsel "https" verdwenen, met de intentie het slotje volledig te laten verdwijnen (zoals hier nu gemeld).
https://www.ghacks.net/20...oval-of-secure-and-https/

Google plans to turn things around completely in the near future. The company plans to omit positive indicators in the future and instead highlight non secure connections to the user.

En medio 2019 is ook de opsmuk rondom EV-certificaten verdwenen (Wikipedia loopt, zoals zo vaak, achter met de informatie):
https://duo.com/decipher/...ev-certificate-indicators

Browser makers have been making a series of changes to the way they display security indicators to users, and in the next major versions of Chrome and Firefox, Google and Mozilla will remove the information about extended validation SSL certificates from the address bar after deciding that it doesn’t communicate any useful information to users.

[Reactie gewijzigd door Eagle Creek op 23 juli 2024 03:08]

joco @teek2 • 15 juli 2021 17:20

maar hoe zie ik dan precies dat het een EV is of niet?

Ik zie bij rabo dat de issuer: DigiCert SHA2 Extended Validation Server CA. is maar dat zeg me niks, das maar een naampje..

Verwijderd @joco • 15 juli 2021 20:17

Er zijn 3 soorten https server certificaten:

3) EV = Extended Validation. Daarbij gelden (als het goed is) de strengste eisen aan de authenticatie van de aanvrager; mag deze voor de betreffende organisatie dat certificaat aanvragen? De kans dat een cybercrimineel zo'n certificaat kan aanvragen voor bijv. ing.nl is het kleinst. Gedetailleerde gegevens van de organisatie worden opgenomen in het certificaat.

2) OV = Organization Validated. Grotendeels vergelijkbaar met EV maar de checks zijn meestal minder streng (veel PKI-overheid certificaten zijn van het type OV, maar de authenticiteitscontrole is meestal veel strenger dan bij een reguliere OV-certificaten-uitgever).

1) DV = Domain Validated. Gegevens als de naam van de organisatie worden niet opgenomen in zo'n certificaat. De enige check die gedaan wordt, is of de aanvrager toegang heeft tot een server met de gegeven domeinnaam. Dus als een cybercrimineel de webserver van bijvoorbeeld example.com met IP-adres 93.184.216.34 gehacked heeft, en een domein genaamd ing-bank.nl in DNS heeft geregistreerd met datzelfde IP-adres, kan hij een phishingsite bijbouwen op die door hem gehackte server - en daar heel simpel "no questions asked" een DV certificaat voor verkrijgen (voor ing-bank.nl dus). De meeste DV-certificaten zijn gratis, er is dus ook geen "money trail".

Ik vind het een uitermate slechte zaak dat webbrowsers al nooit het verschil tussen een site met een OV en DV certificaat lieten zien. Later kwam EV erbij, waarbij er wel een zichtbaar verschil was (met OV en DV), maar dat is -helaas- weer verdwenen. Daardoor hebben surfers geen idee hoe betrouwbaar de identiteit van de certificaat-aanvrager is vastgesteld, en ook niet (vooral niet op public WiFi) of zij verbinding hebben met de bedoelde server. Bovendien moeten gebruikers nu weten (vooral als zij op een phishinglink klikken) dat een getoonde domeinnaam wel of niet van de gesuggereerde organisatie is.

Nb. DV-certificaten zijn amper veiliger dan -het meestal onveilige- DNS. Zonde, want het fraaie aan https verbindingen is dat deze zelf onafhankelijk zijn DNS manipulatie (of BGP hijacks). Immers, alleen als de server (waar jouw browser verbinding mee heeft) beschikt over de (geheime) private key die past bij de public key in het (totaal niet geheime) certificaat, komt de versleutelde verbinding tot stand. Als die server die private key niet heeft, krijg je een certificaatfoutmelding (die je dus *nooit* moet negeren/wegklikken).

Laatste "weetje": bij moderne https verbindingen heeft het certificaat helemaal niets meer met de versleuteling te maken (vroeger wel), maar is er de laatste jaren uitsluitend voor authenticatie van de server (de symmetrische sleutel waarmee de https verbinding wordt versleuteld, wordt overeengekomen middels het Diffie-Hellman algoritme).

joco @Verwijderd • 16 juli 2021 09:32

Mijn vraag was meer hoe zie ik dat als ik de certificate details bekijk rechstreeks in de browser..

als ik bv die van "tweakers.net" and "google.nl" bekijk
verwacht ik dat tweakers maar een DV is (is van letscrypt)
het enige grote verschil wat ik zie is de subject
dat heeft bij tweakers alleen maar een cn:

CN = *.tweakers.net

en bij google:

CN = *.google.com
O = Google LLC
L = Mountain View
S = California
C = US

dus dat is dan het verschil?

Verwijderd @joco • 16 juli 2021 11:31

Klopt, bij DV ontbreken aanvullende identificerende gegevens van de organisatie - naast minimaal één domeinnaam [1] die altijd aanwezig hoort te zijn in een https server certificaat.

[1] Onder "Subject Alternate Names" staan alle domeinnamen waar het certificaat voor geldt. Bij OV en DV zijn ook wildcard-definities toegestaan, d.w.z. een leidende asterisk die exact 1 niveau representeert: bij "*.tweakers.net" matcht www.tweakers.net wel maar test.www.tweakers.net niet.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 03:08]

Verwijderd @latka • 15 juli 2021 15:46

Als ik mij niet vergis was de reden om dit te verwijderen dat de USA geen federale KvK (Kamer van Koophandel) heeft.

Daardoor kon een kwaadwillende (bijv. voor een .com site) in staat B een bedrijf met exact dezelfde naam registreren als een bestaand bedrijf in staat A, waardoor in de groene balk exact dezelfde bedrijfsnaam (+ land) werd getoond.

In plaats van dat men, naast het vestigingsland, in de USA ook de staat toonde in de groene balk, zijn browsermakers in alle landen (ook waar dit geen issue was) helaas gestopt met die groene balk. America first (and done)...

M.b.t. de geplande wijziging in Chrome, en natuurlijk in het algemeen: elke verandering is netto een verslechtering tenzij spake is van verbeteringen die voldoende opwegen tegen de nadelen.

Als mensen denken dat een slotje een veilige website betekent, los dan dat probleem op - en dat gebeurt nu niet. Nu zal men nog steeds denken dat een waarschuwing (slotje met streep erdoor of whatever) een onveilige website betekent; zonder waarschuwing zal men er nog steeds vanuit gaan dat het een veilige website betreft.

Aanvulling: een slotje betekent overigens niet alleen dat de verbinding versleuteld is, maar om te beginnen dat jouw browser, met zeer grote zekerheid, verbinding heeft met de server waarvan de domeinnaam in de URL-balk wordt getoond (een versleutelde verbinding met een phishingsite lijkt mij niets toevoegen).

Https betekent dus in de eerste plaats authenticatie van de server. Dat vervolgens voorkomen wordt dat aanvallers netwerkverkeer kunnen meekijken en/of wijzigen, is stap 2.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 03:08]

b12e @Verwijderd • 15 juli 2021 20:08

Nouja, als ik ervoor kan zorgen dat rabobank.nl doorverwijst naar mijn server (bvb door de dns config binnen te breken omdat iemand met teveel rechten als wachtwoord rabo1234 had) dan kan ik net zo goed LetsEncrypt een cert laten aanmaken omdat het de acne challenge kan vinden.

Of nog beter, als ik toegang heb tot je computer kan ik een self signed cert vertrouwen en via hosts de domeinnaam laten omleiden naar mijn malafide server.

Dus dat de domeinnaam bij de server hoort is nu ook weer geen garantie die je krijgt door SSL. Ook niet met enige zekerheid.

Elke veiligheidsmaatregel is er eentje die een andere versterkt en alleenstaand hebben ze eigenlijk allemaal niet zo heel veel te betekenen. DNSSEC, geldig cert, 2FA op je managementportal, een sterk wachtwoord, maar ook netwerkbeveiliging op je thuisnetwerk en je eigen apparaten goed beveiligen en 2x nadenken voordat je teamviewer installeert vanaf teamviewer-download.free.sofdl.com, het zijn allemaal extra zaken om het net wat moeilijker te maken en dus misbruik proberen onmogelijk te maken.

Net zoals SPF, DMARC en DKIM elkaar aanvullen voor email, maar de zwakke schakel dan je e-mailprogramma of provider is die het allemaal negeert.

[Reactie gewijzigd door b12e op 23 juli 2024 03:08]

Verwijderd @b12e • 15 juli 2021 23:25

Nouja, als ik ervoor kan zorgen dat rabobank.nl doorverwijst naar mijn server (bvb door de dns config binnen te breken omdat iemand met teveel rechten als wachtwoord rabo1234 had) dan kan ik net zo goed LetsEncrypt een cert laten aanmaken omdat het de acne challenge kan vinden.

Vooral omdat die phishing-friendly DV certs bestaan en browsers geen groene balk met EV-info meer tonen, moet Rabobank haar DNS records beschermen alsof hun winst ervan af hangt. Reken maar dat zij dat doen.

Of nog beter, als ik toegang heb tot je computer ...

Als jij dat hebt is een verbinding met een nepsite maar één van zeer veel van mijn zorgen. Feitelijk "houdt dan alles op".

Dus dat de domeinnaam bij de server hoort is nu ook weer geen garantie die je krijgt door SSL. Ook niet met enige zekerheid.

Oneens. Een https server certificaat (zelfs DV) waarborgt met redelijke zekerheid dat jouw browser verbinding heeft met een server ergens op internet die beschikt over een private key passend bij de public key in een certificaat - waar tevens de getoonde domeinnaam in is opgenomen (in de basis koppelt een certificaat een identiteit aan een public key; bij een https servercertificaat is de identiteit de domeinnaam).

M.a.w. je weet waarschijnlijk niet waar die server staat of wie dat ding beheert (bijv. Cloudflare), maar wel dat diens domeinnaam door jouw browser is gevalideerd.

Daarbij is het wel noodzakelijk dat de surfer weet dat die domeinnaam van de bedoelde organisatie is (tenzij het om een OV- of EV- certificaat gaat en de surfer weet hoe je zo'n certificaat bekijkt).

Net zoals SPF, DMARC en DKIM elkaar aanvullen voor email, ...

Half. Voor DMARC volstaat het als ofwel SPF ofwel DKIM valideert. En zonder DMARC helpen SPF en DKIM niet tegen spoofed afzenders. En dat genoemd drietal spam zou bestrijden, klopt ook niet - in tegendeel.

... maar de zwakke schakel dan je e-mailprogramma of provider is die het allemaal negeert.

E-mailprogramma's checken niet op SPF etc. (ik heb een DKIM-check plugin in Thunderbird geïnstalleerd, maar da's een uitbreiding en bovendien geeft ie wel eens onterecht een waarschuwing, vermoedelijk omdat Thunderbird ergens aan gerommeld heeft).

De zwakste schakel bij phishing is meestal de ontvanger, die niet checkt hoe de afzenderdomeinnaam exact luidt of niet weet dat de afzenderdomeinnaam helemaal niet van de gesuggereerde organisatie is - als diens mail client het SMTP From emailadres überhaupt toont (op mijn iPhone moet ik daar veel moeite voor doen, vooral als het om een lange karakterreeks gaat).

Kevinp @teek2 • 15 juli 2021 15:44

Overal wordt gewezen op het slotje, en nu halen ze het weg. Op zich niet erg, maar ik weet niet of het handig is.

Katsunami @Kevinp • 15 juli 2021 16:36

http weg, https weg, stuk achter de url is bij veel browsers al grijs. Zal op een gegeven moment ook wel verdwijnen. Haal gewoon de hele adresbalk weg, zodat de Google pagina opent als je de browser opstart, en je enkel via de zoekresultaten naar een site kunt gaan. Hoef je het hele adres niet eens te zien. Volgende stap: laat de site weg en toon alleen de reclame.

WTF... laat maar gewoon de hele browser weg ook.

Waar komt die drang vandaan om overal dingen weg te laten, en te verstoppen onder horizontale of verticale "..." menu's? Ik begin tegenwoordig in steeds meer software en op steeds meer sites dingen over het hoofd te zien, omdat het verstopt is of gewoon onduidelijk is. Pasgeleden kreeg ik op een site iets niet opgeslagen; ik dacht dat de site dingen opsloeg zodra je iets wijzigde en dan naar het volgende veld ging (zoals veel mobiele apps doen tegenwoordig); maar nee, als je iets wijzigde, veranderde ergens rechtsboven in de hoek een heel klein "save"-knopje van donkerblauw naar lichtblauw.

Afgekeken van Azure, ongewtwijfeld... maar supersnel over het hoofd te zien.

Kevinp @Katsunami • 15 juli 2021 19:06

Ik heb vooral een hekel aan het toevoegen bij copy paste.

Je weet niet eens meer als je een e-mail adres plakt wat je aan het doen bent. daar komt vanalles te staan, maar wat ik niet wil als je niet dezelfde mail client gebruikt.

Vroeger met clippy enzo baalde iedereen van deze slimmigheid. Maar nu wordt het er doorgedrukt.

b12e @Kevinp • 15 juli 2021 20:12

Dat is wel redelijk gestandaardiseerd verder. Ome Joop <omejoop@gmautlook.com> wordt door elke mailclient gewoon herkend als, naam van ontvanger is Ome Joop en email is omejoop@gmautlook.com. Meerdere ontvangers zijn comma seperated.

Elke mailclient die daarvan afwijkt best gelijk de deur wijzen.

pverrips @Kevinp • 16 juli 2021 06:05

Als je een beetje controle wilt houden op copy-paste, gebruik dan altijd kladblok (of een kale teksteditor zoals notepad++) als tussenstap.

Verwijderd @Kevinp • 15 juli 2021 23:34

Vroeger met clippy enzo baalde iedereen van deze slimmigheid.

OMG - Clippy is baaaack... en Program Manager uit Windows 3.1 komt terug in Windows 12 zodra gebruikers klagen dat ze het single window in W11 niet zelf kunnen indelen (zie het plaatje bovenaan deze pagina).

PrismSub7 @Kevinp • 15 juli 2021 15:51

Het was misschien meer bedoelt voor de beheerders die nog steeds dingen op http deden

crazyboy01 @Kevinp • 18 juli 2021 17:28

Ik zie wat kritiek op je reactie, maar ik ben het er toch wel deels mee eens. Nee, het werkt niet perse tegen fraude want eigenlijk is het bij iedere website tegenwoordig standaard dat je er een slotje bij krijgt - ook bij nepsites. Maar het geeft op zijn minst aan dat de verbinding versleuteld is, en dat is toch beter dan niets, vooral buiten je eigen netwerk.

En dan denk ik vooral aan de doorsnee persoon. Die is nu geleerd dat we kijken naar een slotje voor we inloggen. Dat gaat naast verwarring bij het weghalen nu waarschijnlijk ook zorgen dat mensen helemaal geen controles meer uitvoeren. Extended validation enzo is voor ons als Tweakers en beheerders ontzettend leuk en goed, maar zegt mijn oma niets en die heeft ook helemaal geen behoefte aan die verhalen. Ik sta dus ook niet te juichen bij deze beslissing, ook al begrijp ik hem en zeg ik niet dat het zijn doel volledig dient.

Bender @teek2 • 15 juli 2021 16:18

Het is een misvatting dat het echt beschermt tegen fraude, want het doet maar een heel klein stukje van het omvangrijke fraude spectrum.

moonlander @teek2 • 15 juli 2021 19:09

Dat zegt een Tweakers misschien wel wat, maar een ieder die daar geen verstand van heeft zal het een worst wezen. Die trappen ook zonder slotje in die sites.

Martinspire 15 juli 2021 15:52

Maar als het probleem het icoontje is, dan maak je daar toch een ander icoontje van? Ik vind het belangrijk om het wel te zien, ongeacht of het een slotje, sterretje, puntje of whatever is.

Ze zijn echt teveel aan het kloten met die adresbalk. En natuurlijk gaan ze het dan weer volledig onmogelijk maken om het alsnog zichtbaar te maken, want stel je voor dat mensen opties zien in de instellingen. Brrr

[Reactie gewijzigd door Martinspire op 23 juli 2024 03:08]

Mizgala28 15 juli 2021 16:15

Wat is niet verwarrend in Google hun ogen?

Want het lijkt wel alsof ze in een omgekeerde wereld leven waar logische dingen "verwarrend" zijn, en verwarrende dingen "logisch".

Sito 15 juli 2021 15:12

Waarom is Google continu bezig om het steeds onduidelijker te maken op welke URL je zit en of de URL een geldig HTTPS certificaat heeft?

Ik kan me niet voorstellen waarom je dat zou willen.

roy-t @Sito • 15 juli 2021 15:14

Simpel, als je niet meer met URLs kan werken dan moet je wel via de Google zoekmachine gaan.

HakanX @Sito • 15 juli 2021 15:21

Ze willen alles volgen, daarom ook de manier waarop Google AMP werkt. Dan zit je op de Google servers en niet op de server van de website die je bezoekt. Alleen omdat de URL ook met Google begint, wordt het niet wijdverspreid gebruikt. Het verbergen van de URL zou daar voor Google verandering in brengen.

Sleepkever @Sito • 15 juli 2021 15:44

Omdat een geldige https verbinding gewoon de standaard zou moeten zijn tegenwoordig.
Alle browsers bewegen wel een beetje de kant uit van waarschuwen als het http is in plaats van (groene) vinkjes of slotjes weergeven bij https.

pverrips @Sleepkever • 16 juli 2021 06:07

Eens dat https standaard moet zijn, maar er zijn echt nog providers die extra geld rekenen voor een (Lets Encrypt) certificaat!

claudior @Sito • 15 juli 2021 15:51

Wat in het artikel staat: Mensen die minder verstand van zaken hebben (de meerderheid), kunnen het slotje niet goed interpreteren.

Ik heb vaak genoeg gezien dat mensen concluderen dat een malafide site betrouwbaar is, omdat ze een slotje zien.

MR_VIPER 15 juli 2021 15:09

Slechte zaak. Veel mensen word nu aangeleerd om naar het slotje te kijken als een semi veiligheids maatregel. Dat gaat straks spaak lopen.

Dutchredgaming @MR_VIPER • 15 juli 2021 15:12

Een slotje zegt ook niet erg veel.
Er zijn genoeg nep Tikkie sites (gerapporteerd aan ABN) met een 'slotje' met Let's Encrypt certificaat.
HTTPS maakt browsen op het internet wel veilig met 'meeluisteren', maar niet voor phisingsites.

Dark Angel 58 @Dutchredgaming • 15 juli 2021 15:18

Een slotje zegt ook niet erg veel.
Er zijn genoeg nep Tikkie sites (gerapporteerd aan ABN) met een 'slotje' met Let's Encrypt certificaat.
HTTPS maakt browsen op het internet wel veilig met 'meeluisteren', maar niet voor phisingsites.

Maar bij gerapporteerde phisingssites krijgen rode adresbalk, het is opvallend genoeg dat het om een phising site is. Daarnaast krijg je ook een waarschuwingsmelding dat je mogelijk phising site wilde bezoeken.

Het zichtbaarheid van slotje is in de meeste gevallen verdomd nuttig.
Google, test het niet, voeg een optie in chrome toe of we slotje willen verbergen, maar wel op eigen risisco.
Google, als jullie echt om veiligheid geven, laten jullie https slotje voorgoed in Chrome staan!
Tot in de toekomst protocol http (zonder s) verboden of volledig uitgefaseerd wordt, dan mogen jullie dat slotje voorgoed uit browser verwijderen.

[Reactie gewijzigd door Dark Angel 58 op 23 juli 2024 03:08]

Verwijderd @Dark Angel 58 • 15 juli 2021 15:48

Maar bij gerapporteerde phisingssites krijgen rode adresbalk,
De meeste phishing sites zijn natuurlijk nog niet gerapporteerd. Je zet die dingen namelijk pas online als je actief gaat vissen

.

Het slotje heeft ook totaal niets met phishing te maken. Het bevestigt dat de verbinding naar de site versleutelt is. Vroeger moest men daar certificaten voor aanschaffen, tegenwoordig is dat een volledig geautomatiseerd process waarbij een site binnen seconden een certificaat heeft gekregen, gratis en voor niets... Dus ook phishing sites, er is totaal geen validatie of de site betrouwbaar is, dat is ook neit het nut van 'het slotje'.

Tot in de toekomst protocol http (zonder s) verboden of volledig uitgefaseerd wordt, dan mogen jullie dat slotje voorgoed uit browser verwijderen.
Ik denk niet dat je snapt hoe het straks werkt. Als je nu een site benaderd die niet beveiligt is met een certificaat (dus niet begint met https://) dan komt daar al groot 'onveilig' voor te staan. Daarnaast zijn er nog meerdere waarschuwingen die gegeven worden als bijvoorbeeld formulieren op zulke sites worden ingevuld.

Een beveiligde site is gewoon de standaard vandaag de dag. Dat is dus iets waar een gebruiker niet over geïnformeerd hoeft worden gevallen (enkel als het onveilig is). Dus waarom nog het slotje laten zien?

Verwijderd @Verwijderd • 16 juli 2021 12:15

Het slotje heeft ook totaal niets met phishing te maken. Het bevestigt dat de verbinding naar de site versleutelt is.

Opmerkelijk dat zoveel mensen dat denken.

Het versleutelen van de verbinding is namelijk stap 2, d.w.z. van secundair belang (sterker, aanvankelijk ondersteunde SSL, en dus https, null ciphers waarbij helemaal niet versleuteld werd, maar wel geauthenticeerd).

Stap 1 is dat de browser vaststelt dat de betreffende server (gevonden via DNS op basis van de door de gebruiker gevraagde, en in de URL-balk getoonde, domeinnaam) beschikt over de private key die past bij de public key in het certificaat dat de server naar de browser stuurt. Daarnaast checkt de browser dat het certificaat geldt voor de in de URL-balk getoonde domeinnaam.

Je kunt je een https servercertificaat voorstellen als een kopietje paspoort dat de server naar jouw browser stuurt. Dat zegt natuurlijk niks, want daarna heb jij dat kopietje en zou je je kunnen voordoen als die server. De kracht van certificaten is dat de server moet aantonen over de bijpassende private key te beschikken, zeg maar het originele paspoort. Via een (met gewone computers extreem lastig te kraken, tzt waarschijnlijk wel met quantum computers) wiskundige berekening toont de server aan over de juiste private key te beschikken, zonder die private key (het originele paspoort) uit handen te geven.

De eerste stap is dus authenticatie van de server (door jouw browser en via hopelijk betrouwbare certificaatuitgevers), dus voordat er vertrouwelijke gegevens (kunnen) worden uitgewisseld.

Immers, versleuteling boeit niet als je verbinding hebt met een fake site, want als je daarop jouw wachtwoord invoert, valt het sowieso in verkeerde handen.

Het slotje is dus wel degelijk van belang tegen phishing. Zonder slotje (dus via http) heb je geen zekerheid dat je verbinding hebt met tweakers.net, met slotje is die zekerheid heel behoorlijk.

De phishing-problemen hebben zich overigens verplaatst naar sites met lijkt-op namen, zoals tvveakers.net, tweakers.ned of sites met unicode domeinnamen. Maar ook willekeurige en/of zeer lange domeinnamen komen voor; mensen checken die niet of ze weten niet dat deze niet van de kennelijke organisatie is, vooral als de pagina zelf sterk lijkt op het origineel.

Daarom vind ik het zo jamner dat de groene EV-balk is verdwenen.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 03:08]

Verwijderd @Verwijderd • 16 juli 2021 15:28

Het slotje is dus wel degelijk van belang tegen phishing. Zonder slotje (dus via http) heb je geen zekerheid dat je verbinding hebt met tweakers.net, met slotje is die zekerheid heel behoorlijk.
Vroeger had je een punt maar tegenwoordig staat er bij een HTTP site duidelijk 'Not Secure' voor het adres. Je weet dus goed dat er iets aan de hand is en dat de website niet veilig is. Zo moet beveiliging ook zijn: standaard. Alles wat niet veilig is moet je afstraffen en niet dingen afhankelijk maken van menselijke controles. Diezelfde mensen zijn namelijk het doelwit en dat ze falen is menselijk.

Zoals je zelf al zegt, worden de meeste phishing aanvallen gepleegd via domeinen die sterk lijken op het echte doeldomein. De grap is dat daar wel een certificaat op staat (binnen een seconde te regelen via LetsEncrypt) en gebruikers dus een slotje zien en denken dat deze veilig is.

Het slotje is dus wel degelijk van belang tegen phishing.
Het slotje is duidelijk van invloed bij phishing, alleen niet in positieve zin. Daarom voert Google ook deze ook actie uit.

Er is trouwens ook geen serieuze website die geen SSL ondersteuning aanbied, Google gooit je dan ook laag in de zoekresultaten als je dit niet geregeld hebt.

Daarom vind ik het zo jammer dat de groene EV-balk is verdwenen.
Het is goed dat deze is verdwenen. Het hele idee hing aan de vereiste dat menselijke controles goed werden uitgevoerd en we weten allemaal dat dit al erg vaak is fout gegaan. Wie herinnert zich Diginotar nog?

Verwijderd @Verwijderd • 16 juli 2021 16:30

Dank voor jouw respons. Goed om te zien dat je het met mij eens lijkt dat https niet alleen versleuteling, maar zeker ook authenticatie van de server betekent.

Ik denk niet dat we het eens gaan worden over de aanpak van phishing, zie desgewenst mijn aanvullende argumenten vooral onderin deze reactie voor WhatsappHack.

Verwijderd @Verwijderd • 17 juli 2021 01:57

Ik denk niet dat we het eens gaan worden over de aanpak van phishing,

Het maakt niet uit. We streven allebei voor hetzelfde.

Dat is waar het om gaat

[Reactie gewijzigd door Verwijderd op 23 juli 2024 03:08]

monojack @Dark Angel 58 • 16 juli 2021 07:19

Wat valt er weg als http (zonder s) gewoon niet meer te gebruiken is? alsof je per ongeluk bttps:// typte? Het zal vast onmogelijk zijn om alle verkeer dat onbeveiligd verloopt te verbieden anders was het al gebeurt maar wat is dan de reden daarvoor?

uitstelgedrag @monojack • 16 juli 2021 12:08

Zelf denk ik dat er niet heel veel veranderd als https de default is in je browser en http niet meer werkt. Dat komt omdat https echt de norm geworden is. Naar verwachting zullen het aantal websites die geen https ondersteunen steeds verder afnemen omdat je bezoekers in hun browser een waarschuwing zien als een site geen https gebruikt. Daarnaast heeft een webmaster heeft mij verteld dat Google je een lagere SEO score geeft als je geen https ondersteund.
Een paar jaar geleden was dat wel anders. Als je toen "https everywhere" gebruikte om alles te forceren naar https gingen sommige sites stuk. Nu zullen de meeste sites gewoon nog werken en forceren sommige sites zelf alles ook naar https.
Voor veel websites is http al niet meer te gebruiken, het http gedeelte is alleen nog maar een redirect naar https en kan er geen content meer uitgeserveerd worden over http.

crazyboy01 @monojack • 18 juli 2021 17:13

Dan worden de websites die geen https ondersteunen onbereikbaar, lijkt me. Volgens mij veranderd er weinig voor de websites die al via https te benaderen zijn: als die nog iets proberen in te laden via http wordt dat volgens mij gewoon geblokt in de meeste browsers. Nadat ik mijn websites ooit had omgezet naar https moest ik in ieder geval ook de links naar jQuery etc in mijn <head> veranderen naar https ipv http, want de http-verbinding werd geblokkeerd.

dr86 @Dark Angel 58 • 15 juli 2021 15:22

Niet altijd hoor, en ook dan trappen er nog te veel mensen in

Jeroenneman @Dutchredgaming • 15 juli 2021 15:14

Schijnveiligheid dus. Prima om dat niet meer te promoten.

WhatsappHack

Google

@Jeroenneman • 15 juli 2021 15:59

Nee geen schijnveiligheid, gewoon verkeerde interpretatie… Het slotje zegt dat de verbinding met de site versleutelt is, niet dat de content veilig is of dat de operator te vertrouwen is.

Jeroenneman @WhatsappHack • 15 juli 2021 16:11

Maar aangezien iedere malafide partij via Let's Encrypt ook zo'n slotje regelt, zegt het dus weinig meer.

WhatsappHack

Google

@Jeroenneman • 15 juli 2021 17:28

Het zegt nog steeds evenveel. Het zegt niet meer of minder dan eerst, het slotje heeft nooit tot doel gehad om aan te geven of het een malafide partij is of niet. Het slotje is neutraal. Dat mensen er dingen bij verzinnen wat het nog meer voor betekenis zou hebben ligt aan die mensen, niet het slotje.

Het slotje zegt maar één ding: is de verbinding met de server beveiligd met een geldig certificaat, ja of nee? Meer zegt het niet. Dus meer moet je er ook niet in zien of bij verzinnen.

Je moet niet meer waarde hechten aan een bepaalde functie als deze functie helemaal niet kan voorzien in die waarde... Het slotje zegt enkel: de verbinding tussen punt A en B is beveiligd (versleuteling) met een geldig certificaat en juiste keys (authenticatie), waardoor tussenliggende hops dus (normaliter) niet mee kunnen lezen met jouw verkeer of bijvoorbeeld iemand met WireShark op je netwerk niet doodleuk zomaar je wachtwoord uit de lucht kan plukken en je weet dat het certificaat hoort bij het domein dat je bezoekt en de server de juiste keys heeft. Het zegt alleen niets over wat de verzender/ontvanger vervolgens doet en zegt dus niets over de betrouwbaarheid van de mensen aan de andere kant. Het zegt enkel iets over de veiligheid van de verbinding en validiteit van het certificaat. Het slotje doet gewoon z'n werk en zegt juist heel erg veel, je kan precies zien of de verbinding veilig is, hoe deze beveiligd is en wie het certificaat verstrekt en controleert. Ook kan als het certificaat gecompromitteerd is deze ingetrokken worden, dan gaat het slotje ook weg en krijg je een waarschuwing.

Kortom: slotje doet wat het moet doen, zegt nog altijd evenveel als voorheen.

-edit- typo fix.

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 03:08]

Verwijderd @WhatsappHack • 16 juli 2021 12:38

Het slotje zegt dat de verbinding met de site versleutelt is, ...

Dat is stap 2, authenticatie van de server is stap 1.

Zie mijn reactie zojuist aan dycell.

WhatsappHack

Google

@Verwijderd • 16 juli 2021 13:20

Technisch gezien klopt dat ja, maar dat heeft alleen geen enkele invloed op het feit dat het slotje helemaal niets zegt over de betrouwbaarheid van de website/de mensen daarachter.

(En gezien het hier om DV LE-certificaten ging vond ik de authenticatie niet zo heel bijzonder boeiend om te vermelden en min of meer geïmpliceerd, maar je hebt gelijk: het hoort er wel bij in ‘t volledige verhaal.

EV was al een heel stuk beter om wél iets te zeggen over wie er achter zit en zo de optie om nog wat beter te kijken naar de betrouwbaarheid, maar was ook absoluut niet waterdicht.)

Dus sure, als je dat er bij wilt zeggen (en ik heb dat overigens wel, doch in minder woorden, vermeld bij m’n 2e veel langere reactie

Al zie ik net dat ik per ongeluk verificatie ipv authenticatie had geschreven (toch subtiel anders)): bij DV zegt het slotje zoveel als “de verbinding is versleutelt, het certificaat hoort bij domein x en is geldig”. En vervolgens zitten we alsnog in precies dezelfde situatie, want het slotje zegt nog steeds niet “de verbinding is versleutelt en de persoon erachter is 100% betrouwbaar! Geef met een gerust hart je creditcard details!”.

Overigens, technisch gezien is ook de authenticatie niet waterdicht: zeker niet bij DV. Dus je moet altijd blijven oppassen en je niet doodstaren op enkel het slotje. Maarja, dat is lastig uit te leggen/aan te leren en eerlijk is eerlijk ben ik daar zelf ook vrij laks in omdat niet betrouwbare authenticatie (eg door diefstal van private keys) een zeer zeldzaam fenomeen is.

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 03:08]

Verwijderd @WhatsappHack • 16 juli 2021 13:33

Technisch gezien klopt dat ja, maar dat heeft alleen geen enkele invloed op het feit dat het slotje helemaal niets zegt over de betrouwbaarheid van de website/de mensen daarachter.

Maar dat suggereer ik toch niet?

Als ik jou -live- mijn paspoort laat zien en jij stelt vast dat ik, met grote zekerheid, Erik van Straten ben (inclusief geboortedatum en plaats, BSN en woonplaats), dan zegt dat er toch ook helemaal niets over hoe betrouwbaar ik ben?

Maar als iemand anders zich voor mij uitgeeft tegenover jou (bijv. bij een Marktplaats deal), dan kun je op je vingers natellen dat je een oor aan genaaid gaat worden of zelfs beroofd.

Stap 1: authenticatie;
Stap 2: MitM voorkomen;
Stap 3 (mag ook stap 0 zijn): check de betrouwbaarheid van de tegenpartij.

Feitelijk zijn alle 3 de stappen onafhankelijk van elkaar doch allemaal noodzakelijk.

Laatsgenoemde stap kan techniek niet voor je oplossen, hooguit kun je je baseren op historische gegevens (vaak gerapporteerd door anderen). Maar die bieden nooit garanties voor de toekomst.

Aanvulling: het niet (voldoende) zeker weten dat je gegevens invult op de juiste site (i.p.v. een fake site) is er de oorzaak van dat phishing (en daarmee ransomware) zo'n "enorm succes" is. Een domeinnaam is een wereldwijd uniek identificerend gegeven.

Helaas is het, zeker voor leken, vaak lastig vast te stellen of een gegeven domeinnaam wel of juist niet van de kennelijke organisatie is (een reverse lookup naar aanvullende identificerende gegevens), een probleem dat OV en met name EV certs zouden kunnen helpen oplossen ware het niet dat browsermakers je steeds meer moeite laten doen om die gegevens te vinden.

DV certs werken phishing in de hand. De belangrijkste eis voor een authenticatiemethode is namelijk niet dat Alice bewijst dat zij Alice is, maar dat Bob, Mallory en wie dan ook (anders dan Alice) niet kunnen bewijzen dat zij Alice zijn.

Tweede aanvulling ter onderbouwing van de vorige: als ik werkenbijtweakers.net registreer kan ik daar doodsimpel een DV cert voor krijgen. Helemaal niets wijst er dan op dat die site niet van tweakers.net is (vooral niet als ik de opmaak en logo's kopieer). Helaas zijn werkenbijX.tld domeinnamen meer regel dan uitzondering; je kunt het surfers niet verwijten dat zij hier intrappen. We maken het phishers veel te eenvoudig.

DUS zou je DV certificaten niet moeten vertrouwen en DUS zouden we ze nooit moeten gebruiken.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 03:08]

WhatsappHack

Google

@Verwijderd • 16 juli 2021 13:58

Ja ik weet hoe het werkt. Ik dacht door je korte one-liner dat je het niet eens was met de stelling dat het slotje niets zegt over betrouwbaarheid, waar de discussie in de kern om draaide, maar kennelijk zijn we het dan gewoon eens.

Verwijderd @WhatsappHack • 16 juli 2021 14:05

OK thanks

WhatsappHack

Google

@Verwijderd • 16 juli 2021 14:22

Ik lees je edit net nog. Grappig dat je daar over begint. Ik denk vooropgesteld niet dat DV phising in de hand werkt. Ik zie niet in waarom dat zo zou zijn, het een heeft wat mij betreft niets met het ander te maken.

Maar ik zou wel graag opnieuw willen bekijken hoe we met certificaten omgaan. EV was trwns ook verre van waterdicht, eg: fratsen als een Russische toko “Van Ianschot bank” kon gewoon EV krijgen en zich voordoen als “Van lanschot bank”

Maar EV gaf wel al wat meer achtergrond informatie.

Waar ik het meest mee zit is dat self-signed nog altijd in het verdomhoekje zit ten opzichte van plain-text. Bezoek je een http site dan zie je geen slotje of een gebroken slotje. Bezoek je https met een self-signed certificaat dan gaan alle alarmbellen af, krijg je enorme schermen met “BRENG ME TERUG IN VEILIGHEID” en dat soort shit. Maar authenticatie boeit helemaal niet overal, terwijl versleuteling overal imho wel boeit; ja zelfs bij plain-text HTML-websitejes; puur om een extra laag privacy (“wat leest die Erik allemaal?”) erbij te houden.

Ik zou graag zien dat browsers een andere kant op gaan werken. Self-signed is de standaard en minimum vereiste; http mag simpelweg helemaal niet meer of veroorzaakt van die enorme waarschuwingsschermen. Daar bovenop kan je DV gooien voor de meest basale authenticatie. En dan ‘t liefst weer iets als EV, maar dan een strengere variant, voor banken en overheden. Nu is de situatie nog dat, om mensen niet af te schrikken, je als uitbater nog beter kan kiezen voor plain-text dan encryptie met een ongeauthenticeerd certificaat.

Ik wil dat dat verandert. Ik heb nog liever overal versleuteling en dan op sommige plekken geen authenticatie, dan dat ik her en der geen versleutelde verbinding heb.

Als het goed is gaan we die richting op met HTTP/3 natuurlijk dat altijd versleuteld zou moeten zijn, maar de vraag is hoe lang dat gaat duren; wordt al jaren over geouwehoerd (ook door mij

) en nu is het dan eindelijk een draft.

Maar in de tussentijd hadden we best een interim oplossing kunnen zoeken hiervoor vanuit de browsermakers imho, maarja… Dat is er nooit van gekomen al die jaren.

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 03:08]

Verwijderd @WhatsappHack • 16 juli 2021 15:59

Ik denk vooropgesteld niet dat DV phising in de hand werkt. Ik zie niet in waarom dat zo zou zijn, het een heeft wat mij betreft niets met het ander te maken.

Zie mijn 2e aanvulling hierboven.

EV was trwns ook verre van waterdicht, eg: fratsen als een Russische toko “Van Ianschot bank” kon gewoon EV krijgen en zich voordoen als “Van lanschot bank” Maar EV gaf wel al wat meer achtergrond informatie.

Visuele oversimplificatie door browsers is niet de schuld van EV certificaten.

Safari toonde zelfs het land niet (zie dit plaatje uit deze pagina) in de EV balk, en in de USA toonde, voor zover ik weet, geen enkele browser de staat. Dat leidde tot PoC's door onderzoekers.

Het is een abolute voorwaarde dat wereldwijd unieke identificerende informatie wordt getoond. Als een browser dat nalaat, aan wie ligt dat dan?

Zeer wenselijk is het voor mensen dat die uniek identificerende informatie impliciet weergeeft om welke organisatie het gaat. Bij bol.com is dat klip en klaar, maar niet bij bijvoorbeeld icscards.nl, nwolb.com of werkenvoortweakers.net.

Overigens krijg je geen enkele beveiliging op 100%. Het is niet bepaald zo dat het stikt (of stikte) van de fake sites met EV certs, het waren voornamelijk PoC's van onderzoekers. Wel stikt het van de phishing sites met DV certs.

Bezoek je https met een self-signed certificaat dan gaan alle alarmbellen af, krijg je enorme schermen met “BRENG ME TERUG IN VEILIGHEID” en dat soort shit. Maar authenticatie boeit helemaal niet overal, terwijl versleuteling overal imho wel boeit;

Oneens.

Ik erger me er enorm aan dat mijn Fritz!Box frequent een nieuw self-signed cert genereert. Ik wil dat graag opslaan als trusted (vergelijkbaar met SSH TOFU = Trust On First Use) maar dat is zinloos. Ook RDP heeft hier een handje van.

Een niet als trusted aangemerkt self-signed cert geeft een vals gevoel van veiligheid; immers er kan sprake zijn van een MitM. Daarom vind ik de browser waarschuwingen terecht.

Wat sucks is dat je vaak doodsimpel een rootcert kunt importeren (een foute eigenaar en/of een gelekte private key kan je systeem compleet compromitteren - voorbeeld), terwijl sommige browsers alle mogelijke moeite doen om te voorkomen je een end entity self-signed cert importeert. Dat zou verboden moeten worden!

ja zelfs bij plain-text HTML-websitejes; puur om een extra laag privacy (“wat leest die Erik allemaal?”) erbij te houden.

Dan maak ik mij persoonlijk meer zorgen om injectie van misleidende en/of kwaadaardige content.

Webpages van http sites bevatten vaak links naar andere sites (of dezelfde site, bijv. een https link naar een inlog- of betaalpagina): ook die links zijn dan onbetrouwbaar omdat een MitM ze kan wijzigen en minder mensen een nieuwe domeinnaam checken als ze al "op een site zitten" en clicken.

[quote]Ik zou graag zien dat browsers een andere kant op gaan werken. Self-signed is de standaard en minimum vereiste;[quote]
Ik twijfel. Als je het cert kan "trusten", het niet elke keer wijzigt en de browser er sterk op aandringt dat je op andere wijze (eenmalig, TOFU) de echtheid checkt, okay.

http mag simpelweg helemaal niet meer of veroorzaakt van die enorme waarschuwingsschermen.

Dat laatste. Er is teveel legacy spul.

Daar bovenop kan je DV gooien voor de meest basale authenticatie.

Oneens. Kap met DV, want werkenvoortweakers.net is een voorbeeld van de risico's. De echte tweakers.net kan onmogelijk alle denkbare phishing domeinnamen, tot in de lengte der dagen, registreren (is nog eens prijzig ook).

En dan ‘t liefst weer iets als EV, maar dan een strengere variant, voor banken en overheden.

Eens.

Ik heb nog liever overal versleuteling en dan op sommige plekken geen authenticatie, dan dat ik her en der geen versleutelde verbinding heb.

Wat is het nut van een versleutelde verbinding met werkenbijtweakers.net als die site niet van tweakers.net is? Versleutelen zonder voorafgaande authenticatie is m.i. totaal zinloos.

latka @Jeroenneman • 15 juli 2021 15:33

Vroegah werd een HTTPS verbinding met een extended validation (dus meer dan alleen een hostname controle) groen gekleurd.Tegenwoordig is dat niet meer zo en worden domain validated en EV validated sites hetzelfde getoond. Dan heeft het slotje dus geen zin meer. Beter hadden ze die groene balk terug kunnen halen. Het wegvallen hiervan leverde in ieder geval bij mijn ouders een reactie op van: "hellup we worden gehacked". Maar ja, groene balk was lelijk en moest dus weg. En nu als gevolg van die slechte beslissing wordt het slotje ook weggehaald.

Scriptkid @Jeroenneman • 15 juli 2021 15:43

schijn veiligheid niet, het cert en domain owner kloppen gewoon.

Je moet als user wel kijken naar welke site je gaat / opzit.

Martinspire @Dutchredgaming • 15 juli 2021 15:52

Maar dan is je verbinding toch nog steeds veilig? Ook al is het adres niet jofel? Er kan in ieder geval niets (simpel) onderschept worden

!nFerNo @Martinspire • 15 juli 2021 16:09

Misschien moet er dan geen slotje getoont worden maar een icoon dat laat blijken dat niemand de communicatie kan meekijken/manipuleren.

deadinspace @!nFerNo • 17 juli 2021 13:00

Dat is wat het slotje betekent en altijd betekend heeft.

Probleem is dat mensen zijn gaan denken dat het slotje meer betekent dan dat. En daarom haalt Chrome het slotje weg; het leidt tot de verkeerde conclusies.

Er hoeft geen ander icoon voor in de plaats, want Chrome gaat waarschuwen als de communicatie onbeveiligd is. Beveiligde communicatie zal de nieuwe norm worden, daar is geen icoon voor nodig.

Jester-NL @Dutchredgaming • 15 juli 2021 15:38

Om die reden is het uithollen van EV-certificaten, door het weglaten van de de groene balk (waar Apple overigens mee is begonnen) best jammer.

InjecTioN

@MR_VIPER • 15 juli 2021 15:19

Het is natuurlijk nogal een verschil of je een rood/geen slotje in de adresbalk hebt, tegenover een website die het gewoon niet doet.

Ik denk persoonlijk dat we gewoon eens zouden moeten kijken naar of we terug kunnen naar een vorm van controle die overzichtelijk is voor veel mensen. Momenteel kan iedereen namelijk (als voorbeeld) een Let's Encrypt certificaat aanmaken op een domeinnaam die lijkt op rabobank.nl of abnamro.nl. SSL/TLS encryptie op websites is daarmee niet achterhaald, maar het verzekert je niet van veilig internet-gebruik.

Verschillende soorten certificaten zijn niet meer van elkaar te onderscheiden, waardoor een gratis Let's Encrypt certificaat er hetzelfde uit ziet als een certificaat van bijvoorbeeld Sectigo of de GEANT Vereniging (voor overheids-zaken), wanneer je bijvoorbeeld als reguliere consument (Henk en Jannie van de overkant) een pagina als abn amro bezoekt. Die zien dat gewoonweg niet. Enkel een slotje voldoet IMHO overigens ook niet meer.

[Reactie gewijzigd door InjecTioN op 23 juli 2024 03:08]

Scriptkid @InjecTioN • 15 juli 2021 15:49

Momenteel kan iedereen namelijk (als voorbeeld) een Let's Encrypt certificaat aanmaken op een domeinnaam die lijkt op rabobank.nl of abnamro.nl. SSL/TLS encryptie op websites is daarmee niet achterhaald, maar het verzekert je niet van veilig internet-gebruik.

Waarom haalt iedereen lets encrypt door het stof,

Zolang je geen EV aanvraagt kan je bij elke CA gewoon een certificaat krijgen als jij de domain owner bent net als bij lets encrypt en het is voor iedereen even veilig, jij word gewoon als user geacht te kijken waar je heen gaat. Als je geld overmaakt naar een verkeerd bankrekenign nummer via overboeken zal ook iedereen zeggen had je maar moeten kijken naar het correcte nummer.

darknessblade @MR_VIPER • 15 juli 2021 15:40

Exact.
Niet te vergeten Crome heeft al hun Geniale idee van: shortened URL's ongedaan gemaakt.
Waarbij je alleen de Domein-naam ziet.

Dit "Idee" zal na een jaar dezelfde richting uit gaan.

lenwar

Google
Browsers

@darknessblade • 15 juli 2021 16:40

Dat snijdt natuurlijk aan twee kanten.
Als je vluchtig kijkt naar lijken ze beiden okee.

nowww.ing.nl.directeurl.watlossemarketingtermen.ru/betrouwbaarogendpad/index.hatseflats.html
nowww.ing.nl/directeurl.watlossemarketingtermen/betrouwbaarogendpad/index.hatseflats.html

Echter zie je bij de eerste watlossemarketingtermen.ru en bij de ander ing.nl staan.

Phishing sites zijn domweg een groot probleem en het is bijzonder ingewikkeld om continu heel erg alert te zijn, zeker als je er niet dagelijks mee bezig bent. Ik ben zelf een groot voorstander van een aparte categorie voor certificaten voor gevoelige bedrijven en overheden en dat die dus apart gemarkeerd worden in browsers.
Dus bijvoorbeeld financiele instellingen (met een banklicentie) en overheden zouden wat mij betreft een apart gemarkeerd certificaat moeten (!!) krijgen dat apart wordt weergegeven door je browser. Dus niet een EV-certificaat waar iedereen met een creditcard er één van kan krijgen, maar één die echt alleen maar worden uitgegeven aan specifieke bedrijfstakken.

Uiteraard kunnen we zeggen "Dan moet je maar oppassen wat je doet" en dat is deels ook waar natuurlijk, maar aangezien het internet door iedereen die weet hoe hij moet spellen gebruikt wordt (en de facto moet worden), kan je daar niet mee weg komen.

N.B. Mogelijk nog een paar categoriën naast financiële instellingen en overheden die ik zelf 123 niet kan bedenken.

(( Edit: www veranderd in nowww zodat er geen links van gemaakt worden ))

[Reactie gewijzigd door lenwar op 23 juli 2024 03:08]

Lodo @MR_VIPER • 15 juli 2021 15:12

Ja hier dacht ik ook meteen aan, zeker ouderen is dit best wel ingeprent, heb ik zelf eigenlijk ook wel gedaan.

bwerg @MR_VIPER • 15 juli 2021 15:15

Dat loopt nu dus al spaak omdat mensen verkeerde aannames maken over wat het betekent. Slotje afwezig is fout, maar slotje aanwezig is niet per se goed. De keuze van een waarschuwing zonder HTTPS en gewoon helemaal niks zeggen met HTTPS is wat dat betreft dus geheel logisch. Dat geeft alleen onnodig veel waarschuwingen als je vaak websites zonder HTTPS bezoekt maar dat worden er steeds minder.

Als een scammer ing.nl nabouwt, kan hij dat prima over HTTPS doen en dat krijgt dan een slotje. Enige indicatie dat dat veilig zou zijn is gewoon misleidend. Als ik een website niet vertrouw kijk ik dus ook naar de details van het certificaat, daarvoor moet ik doorklikken, net zoals in het nieuwe ontwerp.

[Reactie gewijzigd door bwerg op 23 juli 2024 03:08]

beerse @MR_VIPER • 15 juli 2021 15:20

Zelf dacht ik dat het ge-wissel met die tekentjes de meeste verwarring oplevert. De slotjes zijn volgens mij ingevoerd met het invoeren (of populair worden) van https in plaats van http.

Al moet ik zeggen dat ik meestal firefox gebruik en dus de slotjes in chrome niet zo vaak zie.

Ethirty 15 juli 2021 15:24

Ze zijn lekker bezig daar, https verbergen, extended validation info verbergen en nu het laatst overgebleven kenmerk voor een veilige verbinding verbergen.

Denken ze nu echt dat mensen een pijltje gaan openklappen

kodak @Ethirty • 15 juli 2021 16:05

Opmerken dat vetanderingen je niet bevallen is te makkelijk. Zeker als er wel duidelijke redenen zijn gegeven om wel te veranderen, terwijl je daar niet op in gaat en zelf ook geen oplossingen aandraagt.
Als gebruikers het slotje niet snappen en de toegevoegde waarde dus ontbreekt bij de doelen, wat zou jij dan willen wat op een simpele manier wel werkt?

xenn99 @kodak • 15 juli 2021 16:42

Steeds maar dingen veranderen, dat is wat onduidelijkheid schept.
Ik heb dat de laatste jaren steeds vaker met Chrome, dat ze maar veranderen om te veranderen, niet omdat het nodig of beter is.

De oplossing is in dit geval ook eenvoudig, informeer mensen over waar het slotje voor is, in plaats van het maar te gaan verstoppen achter een of ander menu.
Want waar ze nu voor kiezen maakt dingen eerder onveiliger dan veiliger.

kodak @xenn99 • 15 juli 2021 17:23

Dat te veel en te vaak veranderen voor problemen onduidelijkheid schept zorgt er alleen niet voor dat er geen verandering nodig is.

Je suggestie om gebruikers te informeren is wat ze al proberen. Maar kennelijk is dat niet zo simpel. Mensen nemen niet zomaar informatie aan, of niet zomaar op de manier die nodig is.

xenn99 @kodak • 15 juli 2021 18:12

Je suggestie om gebruikers te informeren is wat ze al proberen. Maar kennelijk is dat niet zo simpel. Mensen nemen niet zomaar informatie aan, of niet zomaar op de manier die nodig is.

Als ze die tijd die ze nu hebben gestoken in het wegmoffelen van het slotje hadden gestoken in het beter zichtbaar maken van de functie ervan, dan was er nog vooruitgang.
Ze doen nu net of het onzichtbaar maken ervan een verbetering is, en in mijn ogen is dat gewoon absoluut niet zo.

Kennis is macht.
Mensen dom houden door alles te verstoppen, daar wordt niemand beter van.

kodak @xenn99 • 15 juli 2021 20:14

De functie van het slot lijkt te lastig uit te leggen. Het gaat maar om een klein deel van veiligheid, wat door de jaren heen ook nog verkeer is uitgelegd en begrepen. Ondertussen is de betekenis van certificaten geweizigd omdat het tot een paar jaar geleden een uitzondering was terwijl je nu beter kunt opletten dat de website geen versleutelde communicatie heeft. Steeds melden dat iets goed zou zijn draagt ook niet zomaar bij aan minder risico.
Het is dus een keuze. Maar ik ben het met je eens dat mensen veel beter informeren over de betekenis meer kan helpen. Maar dat lijkt ontwikkelaars kennelijk te lastig. Waarschijnlijk omdat die ook niet goed weten hoe ze dat kunnen doen zonder dat gebruikers het vervelend of ingewikkeld gaan vinden.

Ethirty @kodak • 15 juli 2021 16:47

Wie heeft het over niet bevallen? Het gaat me over het visueel verbergen van een kenmerk dat mij iets moet duidelijk maken over de veiligheid van een site.

Een pijltje neerzetten op de plek van een slotje wat vervolgens alleen maar zegt "is secure" voegt helemaal niks toe. Laat dan gewoon met een slotje zien dat iets "secure" is, je weet wel zoals het nu is. Mensen die het concept van een slotje begrijpen zien het in één oogopslag en weten waarschijnlijk ook wel dat ze er op kunnen klikken. Mensen die dat concept niet begrijpen gaan ook niet meer geholpen worden door het nog onoverzichtelijker te maken.

Maak het slotje oranje voor een normaal certificaat en groen voor een EV en geef een onveilige (http) site een rood uitroepteken.

Ik vind het nog steeds jammer dat je tegenwoordig bij een bank niet meer ziet dat je écht op de site van de bank zit. Want raboba.nknl heeft er ook gewoon een slotje bij staan met een gratis certificaat.

Voor degene die het al niet meer weten:
https://newpathconsulting...9e201b7c961c050970b-500wi

[Reactie gewijzigd door Ethirty op 23 juli 2024 03:08]

kodak @Ethirty • 15 juli 2021 17:43

Zoals je in het nieuws kan lezen zijn er meer gebruikers dan jij doet voorkomen. Het probleem is niet tussen wel of niet geinformeerd zijn, maar ook of men goed geinformeerd is. En dat blijkt niet zomaar mogelijk.
Stellen dat je iets niet bevalt met een bewering dat iets volgens jou niet werkt is daarbij te makkelijk. Je verandert daar niets aan door dan te menen dat het voorheen beter was. Chrome gebruikt daar onderzoek voor en toont aan dat je met meer rekening hoort te houden. Wat lost je opmerking dan aan de problemen op?

Ethirty @kodak • 15 juli 2021 18:23

Er was helemaal geen probleem. Ze hebben zelf een onderzoek gedaan. Iets met wc-eend.
Ik gebruik het woord "mij" vooral in de context als eindgebruiker.

Maar jij lijkt voorstander van veranderen om het veranderen, zonder dat het ook maar iets toevoegd, dus wij gaan het niet eens worden

Zeker gezien je zelf ook niets aandraagt hoe het dan wel beter moet, maar dat antwoord wel van mij verwacht.

kodak @Ethirty • 15 juli 2021 20:28

Zelf onderzoek doen wil niet zeggen dat het onderzoek of het resultaat niet klopt. Dat suggereren om je gelijk te proberen te halen is onredelijk, zeker als dat nogmaals zonder bewijs is. Je krijgt de vraag om daar op in te gaan en vervolgens
stel je zomaar dat het veranderen niets toe zou voegen om daarmee te klagen dat je kritiek krijgt waar je geen discussie op wil voeren. Deze discussie heeft zo vooral geen zin omdat je niet inhoudelijk wil onderbouwen en maar wat beweert wat je goed uit komt. Teleurstellend want het draagt zo niet bij aan mogelijke verbetering.

ATIradeon8500 @kodak • 15 juli 2021 19:06

Als men een slotje niet begrijpt, waarom zou men een pijltje dan wel snappen???

Rabb @kodak • 15 juli 2021 18:54

Al de moeite die is gestoken in het mensen aanleren van wat veilig is schoffelen ze met iedere verandering onderuit.

Campagne voor het slotje en voor https, allebei nutteloos. Als mensen al zo veel moeite hebben met het internet, moet je niet iedere keer de duidelijkheid die er eindelijk was gekweekt weghalen.

Dit is gewoon een form over function beslissing.

Jester-NL @Ethirty • 15 juli 2021 15:49

Ik hoop dat Mozilla dit plan niet gaat volgen...

SwaggyEggs 15 juli 2021 15:36

Zo’n slotje krijg je toch alleen van een certificate authority en die zal het niet uitgeven aan een phishing club?

Haribo112 @SwaggyEggs • 15 juli 2021 15:48

een slotje krijg je als je een HTTPS certificaat hebt op je site. Iedere willekeurige website kan dit eenvoudig zelf regelen met Let's Encrypt, dit is gratis en geautomatiseerd. Ook phishingsites kunnen dit eenvoudig opzetten.

uitstelgedrag @Haribo112 • 16 juli 2021 12:14

Heel vroeger werd het slotje vervalst door een favicon met een "veilig" slotje toe te voegen aan de site. In moderne browsers zit het favicon (mede) om die reden niet meer in de url-balk.

Robo @SwaggyEggs • 15 juli 2021 15:54

Als jij kan aantonen dat je eigenaar bent van een website, krijg je met bijv. Let's Encrypt gewoon een certificaat.

Het slotje geeft uitsluitend aan dat de verbinding tussen jouw browser en de website als veilig wordt beschouwd. En het slotje zegt dus helemaal niets over de inhoud van de website die je over die veilige verbinding binnenhaalt. Over zo'n veilige verbinding kun je dus prima een phishing website bezoeken.

Een browser zal aanvullende checks moeten uitvoeren om iets te roepen over zo'n website. Bijvoorbeeld een check of de website op een lijst van malafide websites voorkomt. Maar deze check op '(on)veilige website' staat dus los van de check of de https verbinding zelf veilig is.

darknessblade @SwaggyEggs • 15 juli 2021 15:41

er zijn manieren om zo'n slotje te vervalsen

eric.1

15 juli 2021 15:32

Aan de ene kant natuurlijk jammer, iig voor de iets geavanceerde gebruiker. Maar voor de gemiddelde gebruiker zal het natuurlijk niets uitmaken. "Groen slotje is veilig" is natuurlijk ook gewoon niet waar, het is eigenlijk te makkelijk om een geldig certificaat te installeren.

We komen zo wel uit in een situatie waarin de browsers nog meer voor ons bepalen wat veilig is en wat niet. Geen idee of dat zo handig is.

Scriptkid @eric.1 • 15 juli 2021 15:51

hoe kom jij makkelijk aan een geldig certificaat van een domain waar jij geen ownership van kunt aantonen?,

eric.1

@Scriptkid • 15 juli 2021 15:54

Dat niet. Maar voor een domein als iing.nl wel, en dat werkt prima als phishing-domein.

tom.cx 15 juli 2021 15:11

Ik vertel dat er altijd opgelet moet worden dat er een slot in de adresbalk staat en dat het domein klopt. Super belangrijk. Dan heb je al meer zekerheid dat je op de juiste site zit. Het weghalen van het slotje in de adresbalk is wel het laatste wat je moet weghalen. Ongeacht of het een test is of niet.

Het feit dat Google haar idealen op deze manier doordrukt en dat bedrijven die overal maar accepteren begrijp ik dan ook niet. Natuurlijk doet Google goed werk qua beveiliging dat zal ik zeker niet ontkennen.

bwerg @tom.cx • 15 juli 2021 15:18

Ik vertel dat er altijd opgelet moet worden dat er een slot in de adresbalk staat en dat het domein klopt. ... Het weghalen van het slotje in de adresbalk is wel het laatste wat je moet weghalen

Waarom? Nieuwe workflow is gewoon het domein checken en klaar. Als het over HTTP gaat krijg je gewoon een enorme waarschuwing.

[Reactie gewijzigd door bwerg op 23 juli 2024 03:08]

SeenD 15 juli 2021 15:12

Goed idee, als ze melden als er geen https is, zoals in de laatste paragraaf, dan lijkt me dat een stuk beter.

geert_s @SeenD • 15 juli 2021 15:56

Vind ik dus ook. Https is dan echt de standaard, business as usual, niks aan de hand. Maar ook geen schijnveiligheid dus, waardoor mensen hopelijk nog steeds op hun hoede blijven. Géén https is sowieso stront aan de knikker, dus dan gaan meteen alle alarmbellen af.

Op dit item kan niet meer gereageerd worden.

Google test weglaten https-slotje in adresbalk van Chrome

Lees meer

Reacties (115)

Sorteer op:

Weergave: