Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 68 reacties

De structuur van het web mag vandaag de dag in de basis nog steeds hetzelfde zijn als toen Tim Berners-Lee het http-protocol ontwikkelde, de manier waarop het wordt gebruikt, is sterk veranderd. Http staat niet voor niets voor hypertext transfer protocol: het protocol was aanvankelijk enkel bedoeld om pagina's op te vragen, niets meer en niets minder. Internetbankieren en webmail waren in 1991 niets meer dan fictie.

Vertrouwelijke communicatie is dan ook nooit ingebouwd in het protocol. Omdat het onderliggende tcp/ip-protocol eveneens niet is ontworpen voor vertrouwelijke communicatie, is dat een risico: als op één punt in de verbinding het netwerkverkeer kan worden afgeluisterd, kan de communicatie worden onderschept, ook wel een 'man in the middle'-aanval genoemd.

Man in the middle

Een man in the middle-aanval. Afbeelding: OWASP.

Onder meer gebruikers van wifi-hotspots lopen risico slachtoffer te worden van dergelijke aanvallen, maar ook een gehackte router bij een internetprovider kan een gevaar zijn. Dat dit geen fictie is, bewijst de recente aanval op KPN, waarbij hackers hebben ingebroken op een core-router.

Veilig...

Om vertrouwelijke communicatie via het web over een niet gegarandeerd veilige verbinding mogelijk te maken, is er https, simpel gezegd http met een ssl/tls-encryptielaag. Https zorgt er onder meer voor dat gegevens worden versleuteld, zodat iemand die de data onderschept, er niets mee kan, mits de versleuteling sterk genoeg is.

Versleuteling op zich is echter niet genoeg: het is ook belangrijk om te weten met wie er wordt gecommuniceerd. Anders zou een aanvaller zichzelf kunnen voordoen als een legitieme server, waarbij al het verkeer onderweg netjes wordt versleuteld, maar de aanvaller de informatie als ontvanger kan lezen. Daarvoor bestaat vandaag de dag een systeem van certificaat-autoriteiten.

Iedereen kan voor zichzelf een ssl-certificaat, gekoppeld aan een domeinnaam, aanmaken, maar die selfsigned-certificaten worden niet standaard door browsers vertrouwd. Om door een browser vertrouwd te worden, moet een certificaat worden ondertekend met een root-key van een certificaat-autoriteit.

Het idee achter dit systeem, vastgelegd in de X.509-specificatie, is dat de certificaat-autoriteiten bepalen of iemand een bepaald certificaat wel mag uitgeven. Is dat zo, dan wordt het certificaat ondertekend met de privésleutel van de certificaat-autoriteit.

X.509 wordt overigens niet alleen gebruikt voor https: ook de veilige equivalenten van onder meer de e-mailprotocollen imap en pop leunen op dit principe. Het is een van de steunpilaren voor veilige communicatie. Is dat terecht?

Browsermakers - en ontwikkelaars van e-mailsoftware, bijvoorbeeld - leveren de publieke sleutels van vertrouwde certificaat-autoriteiten mee. Als een certificaat van een webserver is ondertekend door een certificaat-autoriteit wier publieke sleutel is ingebouwd in de software, dan wordt het certificaat vertrouwd.

...of niet?

Nog los van meerdere exploits waarbij onderzoekers valse X.509-certificaten konden genereren, bijvoorbeeld doordat het inmiddels achterhaalde md5-hashing-algoritme werd ondersteund, heeft het certificatensysteem een achilleshiel. Of, beter gezegd: ongeveer 650 achilleshielen.


Door Joost Schellevis

- Redacteur

Joost werkte van 2009 tot 2015 als nieuwsjager bij Tweakers. Hij heeft vooral interesse in internet, privacy, beveiliging en politiek. Regelmatig schreef Joost een verdiepende achtergrond om actuele onderwerpen beter te belichten.

Volg Joost op Twitter


Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True