Er vinden steeds meer aankopen via internet plaats en ook bankzaken worden bijna enkel nog via het internet afgehandeld. Om al deze transacties te beveiligen wordt gebruik gemaakt van SSL/TLS beveiligingsprotocollen. Een voor iedereen begrijpelijke uitleg over de zogenaamde SSL-certificaten. Wat is de zwakke plek in deze beveiliging?
|
Wat is een ssl-certficaat?
De beveiliging van websites is geregeld met behulp van zogenaamdeSSL-certificaten. Een SSL-certificaat is een gegevensbestand, dat een cryptografische sleutel aan een internet domein koppelt. Dit gegevensbestand wordt op de webserver geïnstalleerd, zodat een bedrijf veilige sessies met de internetbrowsers aan zijn cliënten kan aanbieden. Als een certificaat geïnstalleerd is, wordt het https-protocol geactiveerd en wordt het bekende hangslotje in de browsers getoond. Een certificaat moet worden aangevraagd bij, en wordt uitgegeven door een zogenaamde certificaatautoriteit (CA).
de certificaatauthoriteit (ca)
Een certificaatautoriteit (certificate authority) is een instelling of bedrijf dat de cryptografische sleutels of wel (digitale) certificaten uitgeeft. Alvorens een certificaat wordt uitgegeven, onderzoekt de CA of de aanvrager aan de vereiste voorwaarden voldoet en bijvoorbeeld een legitiem bedrijf is, of dat het internetdomein in de aanvraag ook werkelijk van het betreffende bedrijf is. Kortom er wordt gecheckt of de aanvrager werkelijk is wie hij zegt te zijn. Een CA waarborgt de integriteit en de authenticiteit van het door hem uitgegeven certificaat en staat zo dus in voor de identiteit van de eigenaar van het certificaat.
De sleutelrol de zwakke schakel?
Het moge duidelijk zijn dat de CA een sleutelrol in het certificatieproces heeft. Een CA moet aan hoge veiligheidseisen voldoen om certificaten te mogen uitgeven en beheren. Zowel de computertechnische als de fysieke veiligheid moeten aan strenge veiligheidseisen voldoen. Een lek bij de CA kan leiden tot de beruchte 'Man in the middle'-aanval. Hierbij wordt informatie tussen twee communicerende partijen wordt onderschept (en mogelijk gewijzigd), zonder dat men dat in de gaten heeft. CA's worden dan ook jaarlijks aan een audit onderworpen om te kijken of ze nog aan de (internationale) standaarden voldoen. Deze audits worden uitgevoerd door accountantsbureaus.
soorten certificaten
Om te zorgen dat de door een CA uitgegeven certificaat gelezen kan worden door alle browsers op alle platformen, heeft de CA een zogenaamd root-certificaat. Men zorgt ervoor dat zijn zogenaamde root-certificaat bekend is bij, en geïnstalleerd is op alle gangbare browsers, besturingssystemen en platformen. Hierdoor kunnen boodschappen die zijn versleuteld met de sleutel van de betreffende autoriteit door alle apparaten en browsers ontcijferd worden.
Men kan bij een certificaatautoriteit verschillende typen certificaten aanvragen:
Men kan bij een certificaatautoriteit verschillende typen certificaten aanvragen:
- DomainSSL of standaard SSL-certificaat
- Extended SSL-certificaat
ssl: is het allemaal veilig?
De techniek van de beveiligingscertificaten is veilig, mits uw computer ook met een goede virus- en malware-scanner is beveiligd. 100% veilig is het nooit, want het systeem is uiteindelijk op het vertrouwen in de Certificaat Autoriteiten gebaseerd en dat is tevens de zwakste schakel in de keten. U herinnert zich misschien nog het Diginotar-debacle....?
De uitgifte van de standaard certificaten gebeurt veelal automatisch. U betaalt via internet en 10 minuten later heeft u het certificaat. Er vindt slechts een automatische check plaats en klaar! Een grondige controle van wie werkelijk de eigenaar van een domeinnaam is wordt niet gedaan.
De grootste zekerheid biedt een extended SSL-certificaat. Zoals gezegd: 100% veilig is het niet, maar het is het beste wat we hebben......
De uitgifte van de standaard certificaten gebeurt veelal automatisch. U betaalt via internet en 10 minuten later heeft u het certificaat. Er vindt slechts een automatische check plaats en klaar! Een grondige controle van wie werkelijk de eigenaar van een domeinnaam is wordt niet gedaan.
De grootste zekerheid biedt een extended SSL-certificaat. Zoals gezegd: 100% veilig is het niet, maar het is het beste wat we hebben......