×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Joost Schellevis

Redacteur

De zwakste schakel van https

Door , 68 reacties

Http(s)

De structuur van het web mag vandaag de dag in de basis nog steeds hetzelfde zijn als toen Tim Berners-Lee het http-protocol ontwikkelde, de manier waarop het wordt gebruikt, is sterk veranderd. Http staat niet voor niets voor hypertext transfer protocol: het protocol was aanvankelijk enkel bedoeld om pagina's op te vragen, niets meer en niets minder. Internetbankieren en webmail waren in 1991 niets meer dan fictie.

Vertrouwelijke communicatie is dan ook nooit ingebouwd in het protocol. Omdat het onderliggende tcp/ip-protocol eveneens niet is ontworpen voor vertrouwelijke communicatie, is dat een risico: als op één punt in de verbinding het netwerkverkeer kan worden afgeluisterd, kan de communicatie worden onderschept, ook wel een 'man in the middle'-aanval genoemd.

Een man in the middle-aanval. Afbeelding: OWASP.

Onder meer gebruikers van wifi-hotspots lopen risico slachtoffer te worden van dergelijke aanvallen, maar ook een gehackte router bij een internetprovider kan een gevaar zijn. Dat dit geen fictie is, bewijst de recente aanval op KPN, waarbij hackers hebben ingebroken op een core-router.

Veilig...

Om vertrouwelijke communicatie via het web over een niet gegarandeerd veilige verbinding mogelijk te maken, is er https, simpel gezegd http met een ssl/tls-encryptielaag. Https zorgt er onder meer voor dat gegevens worden versleuteld, zodat iemand die de data onderschept, er niets mee kan, mits de versleuteling sterk genoeg is.

Versleuteling op zich is echter niet genoeg: het is ook belangrijk om te weten met wie er wordt gecommuniceerd. Anders zou een aanvaller zichzelf kunnen voordoen als een legitieme server, waarbij al het verkeer onderweg netjes wordt versleuteld, maar de aanvaller de informatie als ontvanger kan lezen. Daarvoor bestaat vandaag de dag een systeem van certificaat-autoriteiten.

Iedereen kan voor zichzelf een ssl-certificaat, gekoppeld aan een domeinnaam, aanmaken, maar die selfsigned-certificaten worden niet standaard door browsers vertrouwd. Om door een browser vertrouwd te worden, moet een certificaat worden ondertekend met een root-key van een certificaat-autoriteit.

Het idee achter dit systeem, vastgelegd in de X.509-specificatie, is dat de certificaat-autoriteiten bepalen of iemand een bepaald certificaat wel mag uitgeven. Is dat zo, dan wordt het certificaat ondertekend met de privésleutel van de certificaat-autoriteit.

X.509 wordt overigens niet alleen gebruikt voor https: ook de veilige equivalenten van onder meer de e-mailprotocollen imap en pop leunen op dit principe. Het is een van de steunpilaren voor veilige communicatie. Is dat terecht?

Browsermakers - en ontwikkelaars van e-mailsoftware, bijvoorbeeld - leveren de publieke sleutels van vertrouwde certificaat-autoriteiten mee. Als een certificaat van een webserver is ondertekend door een certificaat-autoriteit wier publieke sleutel is ingebouwd in de software, dan wordt het certificaat vertrouwd.

...of niet?

Nog los van meerdere exploits waarbij onderzoekers valse X.509-certificaten konden genereren, bijvoorbeeld doordat het inmiddels achterhaalde md5-hashing-algoritme werd ondersteund, heeft het certificatensysteem een achilleshiel. Of, beter gezegd: ongeveer 650 achilleshielen.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*