Veel Nederlandse websites die een https-verbinding aanbieden, hebben deze niet goed ingesteld, blijkt uit onderzoek. Dat zou onder andere gelden voor DigiD, sites van banken, overheidsinstellingen, webshops en medische organisaties.
Beveiligingsexpert Teus Hagen presenteert deze conclusies donderdag op een beveiligingsconferentie van de NLUUG, een vereniging van professionele opensource-gebruikers. In zijn onderzoeksverslag schetst Hagen zijn verbazing over de in zijn ogen gebrekkige ssl/tls-beveiliging van onder andere bankensites: "Het is vreemd om te zien dat websites als Facebook, Twitter en LinkedIn beter beveiligd zijn dan alle Nederlandse banken", schrijft hij.
Banken die slecht scoren zijn onder andere de Bank of Scotland, de Friesland Bank en de ING. De Friesland Bank gebruikt een verlopen certificaat en had zijn certificaat niet gekoppeld aan een hostname, waardoor kans op misbruik van het certificaat groter wordt. Dat laatste geldt ook voor onder andere Mijn ING, Bank of Scotland en Staal Bankiers. Negen van de 27 onderzochte bankensites, waaronder Mijn ING, zijn vatbaar voor man in the middle-attacks en zes banken gebruikten geen certificaat van een vertrouwde autoriteit. Slechts 38 procent van de banken gebruikt een veiliger ev-certificaat.
Ook de ssl/tls-beveiliging van overheidssites, waaronder DigiD, zou beter moeten; de versleuteling van DigiD is bijvoorbeeld niet goed genoeg, stelt Hagen. Ook de beveiliging van de servicepagina van Xs4All, de website van UPC en de website van SIDN hapert. Circa de helft van de onderzochte websites van gezondheidsinstellingen biedt helemaal geen beveiligde verbinding, waardoor gebruikersnamen en wachtwoorden als rauwe tekst over het internet worden verzonden.
Onderzoeker Hagen stelt dat aanbieders van webdiensten relatief eenvoudig kunnen zorgen voor een goed beveiligde verbinding. Hij richt zijn pijlen daarnaast op de manier waarop beveiligingscertificaten worden verstrekt: de verstrekking zou te ondoorzichtig zijn en er zou te weinig controle plaatsvinden. Ook zou het wel erg eenvoudig zijn om aan certificaten te komen. Verder pleit Hagen voor snelle invoering van dnssec, een veiligere versie van het dns-protocol.
Volgens de onderzoeker vertrouwen gebruikers op het slot-symbooltje dat verschijnt wanneer een https-verbinding wordt gemaakt, maar zegt dit in de praktijk te weinig over de beveiliging van een site. Zo geeft het 'slotje' enkel aan dat er een succesvolle ssl/tls-handshake is gemaakt, maar betekent dat niet direct dat de door de site aangeboden versleuteling goed genoeg is.
Tweakers.net