De Diginotar-affaire was niet alleen pijnlijk voor het Rijk, maar heeft gevolgen voor iedereen die het web op gaat. Dit kun je doen om jezelf te beschermen.
Dit jaar zijn er al (minimaal) twee grote aanvallen geweest op Certificate Authorities (CA's). Dicht bij huis hebben we net een paar weken lol gehad van de Diginotar-affaire, maar in maart bleek ook al dat Comodo, een van de grootste uitgevers van SSL-certificaten op het web, niet in staat was hackers buiten de deur te houden.
Hoe werkt zo'n hack van een CA eigenlijk? De certificeringsinstanties of Certificate Authorities zijn uitgevers van digitale certificaten die door je browser worden gebruikt om de identiteit van een website te controleren. Zo'n certificaat vertelt je browser dat een site te vertrouwen is, dat wil zeggen: dat hij is wie hij zegt te zijn. Certificaatdieven kunnen dat hele proces ondermijnen door in te breken bij de CA's en zelf certificaten uit te schrijven waarmee ze zich kunnen voordoen als "veilige sites". Phishing wordt zo bijvoorbeeld een heel stuk makkelijker.
Gelukkig sta je niet helemaal machteloos tegen dit soort misbruik. We geven vier tips die je (naast je eigen gezonde verstand) kunt gebruiken om te voorkomen dat je slachtoffer wordt.
1. Zorg dat je browser bij de tijd is
Browserbouwers reageren gewoonlijk snel op het nieuws van CA-hacks, die ze blokkeren door hun product te patchen. In sommige browsers worden dergelijke patches automatisch geïnstalleerd, maar bij andere moet je de installatie van dergelijke patches zelf in gang zetten. Het eerste dat je dus moet doen is uitzoeken of je browser zo is ingesteld dat hij zichzelf update zodra dat mogelijk is. Kan dat niet, controleer dan direct of je de meest recente versie gebruikt. Hoe eerder je browser wordt bijgewerkt, hoe kleiner de kans dat hackers kwaad kunnen.
2. Zorg dat je browser controleert op eventueel ingetrokken servercertificaten
Sommige browsers controleren niet automatisch of een servercertificaat misschien is ingetrokken. Zorg dat je browser altijd automatisch de status van servercertificaten kan controleren door die optie aan te zetten in je browsers instellingen (onder HTTPS/SSL). Je browser kan alleen zien of een servercertificaat misschien ongeldig is verklaard als deze optie is ingeschakeld.
3. Basiscertificaten aanpassen
De meeste browsers krijgen standaard een lijst met een aantal 'vertrouwde basiscertificeringsinstanties' mee. Dat soort basiscertificaten zijn in feite een soort vrijgeleide voor alle certificaten die door een CA uit die lijst worden uitgegeven. In het geval van Diginotar bijvoorbeeld zou zo'n basiscertificaat er voor zorgen dat je browser alle certificaten die zijn uitgegeven door Diginotar automatisch zou accepteren - dus ook de vervalste exemplaren. Natuurlijk waren de belangrijkste browsermakers (Microsoft, Mozilla en Google) er als de kippen bij om het basiscertificaat voor Diginotar in te trekken.
In sommige browsers kun je die basiscertificaten met de hand aanpassen of verwijderen, al vraagt dat misschien wel wat van je technisch inzicht en geduld. Sommige browsers hebben meer dan 100 basiscertificeringsinstanties meegekregen, en als je van elk van die instanties met de hand de instellingen wilt wijzigen, ben je aardig wat tijd kwijt.
4. Let op de groene adresbalk
Als de adresbalk van je browser groen wordt, betekent dat dat het certificaat van die URL een uitgebreid validatieproces heeft ondergaan. Lang niet alle websites worden op die manier gevalideerd, maar je ziet het wel bij steeds meer grote sites opduiken. Volgens Rick Andrews, Technical Director bij Symantec, is dat een garantie dat de certificaathouder door een zeer rigoureus en goed gedocumenteerd controleproces is gegaan. "Dat soort Extended Validation certificaten kunnen per definitie niet direct worden uitgegeven. Die sites zijn eerst grondig onderzocht door mensen."
bron: www.computerworld.nl
Copyright © 2011 businesswebdesign.nl. Alle rechten voorbehouden.