De titel gaf het al duidelijk aan: deze blog gaat over het recente debat over de waarde van EV SSL dat de sector van informatiebeveiliging heeft overspoeld. Ik vind dat het tijd is dat GlobalSign zijn duit in het zakje doet en onze positie als aanbieder van EV SSL-certificaten verdedigt. Tenzij je onder een steen hebt gewoond, weet je dat verschillende onderzoekers artikelen over de waarde van EV hebben gepubliceerd.
Scott Helme publiceerde een artikel dat aantoont dat de bedrijfsnaam in de URL-balk soms verwarring kan veroorzaken, en daarvoor toonde James Burton al aan dat hij een certificaat van Symantec kon kopen via een nepbedrijf dat hij oprichtte in de UK. Hij beweerde dat een hacker toegang kon krijgen tot verificatiegegevens via het dark web en die kon gebruiken om een nepbedrijf op te richten, een nepdomein te kopen en een EV SSL te kopen om dat domein te beveiligen. Onderzoeker Ian Carroll voerde een iets ander experiment uit en registreerde een nepbedrijf, maar in naam van een bedrijf dat al bestaat, Stripe. Hij registreerde het bedrijf in een ander land, vroeg een certificaat aan voor https://stripe.ian.sh in plaats van het echte https://stripe.com en toonde aan dat de URL-balk in Safari er hetzelfde uitziet voor beide sites.
Deze artikelen zorgden voor een verhit debat over de waarde van EV SSL in de sector. Ik heb dit debat van dichtbij gevolgd, maar ik vond het moeilijk om me er niet boos over te maken. Boos omwille van de misinformatie die deze sector al jaren plaagt en boos omdat we hier allemaal verantwoordelijk voor zijn.
Ik denk dat we de ware betekenis van EV SSL verloren zijn. Certificeringsinstanties wordt verweten dat ze EV SSL verkeerd verkopen en dat ze de indruk wekken dat EV-certificaten dé oplossing bieden tegen phishing en uw verkoop wonderbaarlijk vergroten, maar beveiligingsonderzoekers en voorstanders van DV kan ook verweten worden dat ze de waarde van EV vergeten bij de beveiliging van het internet. Browsers treft ook schuld omdat ze geen UI voor EV voorzien die geschikt is voor de toepassing; iets dat de gemiddelde consument zou begrijpen en herkennen. In deze blog overloop ik de belangrijkste problemen met EV SSL en gebruik ik citaten van de Mozilla Dev Security Policy Group op Google.
Het doel van EV SSL
Kan EV SSL voor phishing worden gebruikt? Ja, zoals blijkt uit het bovenstaande onderzoek. Een hacker die de moeite wil nemen om een valse identiteit te kopen, een nepbedrijf te registreren, een duur certificaat te kopen en 3-5 dagen te wachten voor validatie van een EV SSL-bestelling om criminele activiteiten uit te voeren, moet wel heel erg vastbesloten zijn. Vooral als ze weten dat ze in enkele seconden tijd een gratis DV kunnen kopen waarmee ze over een hangslot beschikken dat de meeste consumenten sowieso vertrouwen.
Dat was het doel van EV SSL. Toen het CA/Browser (CA/B) Forum de richtlijnen voor EV vastlegde, stelden ze specifiek dat het doel van een EV SSL-certificaat is:
a) de juridische entiteit identificeren die een website controleert en
b) versleutelde communicatie met een website mogelijk maken.
Wat punt a) betreft, stelt het meer specifiek dat EV bedoeld is om:
"de gebruiker van een internetbrowser redelijke zekerheid te bieden dat de website die de gebruiker bezoekt gecontroleerd wordt door een specifieke juridische entiteit die in het EV-certificaat wordt geïdentificeerd met naam, adres van de vestiging, oprichtingsrechtsgebied of registratie en registratienummer of andere eenduidige informatie"
De belangrijkste term hier is redelijke zekerheid. We kunnen niet garanderen of 100% zeker weten dat de website die u bezoekt een site van een legitiem bedrijf is (en een EV-certificaat biedt geen garantie voor de activiteiten van het bedrijf), maar we kunnen wel tonen wie ze zijn.
Je vraagt je dan misschien ook af wat het nut hiervan is.
Privacy vs. identiteit
Sinds het internet bestaat, zijn er twee beveiligingsproblemen die de community voor informatiebeveiliging probeert op te lossen.
- Privacy – hoe zorgen we ervoor dat een derde partij de privéberichten tussen Tim en Lisa niet kan lezen?
- Identiteit – hoe kan Lisa zeker weten dat Tim echt degene is die met haar communiceert?
Deze problemen lijken erg op de problemen voordat het internet bestond. Brieven werden verzonden in enveloppen die verzegeld werden met was om te voorkomen dat ze geopend werden, maar iemand kon wel jouw post openen en jouw persoonlijke stempel vervalsen. Dat is vergelijkbaar met de man-in-the-middle- of phishingaanvallen die we vandaag kennen. De realiteit is dat er geen garanties zijn, enkel beperking. Desalniettemin is beperking belangrijk.
Dat brengt me terug bij eerdere argumenten die de sector aanvoerde over het feit dat DV wordt gebruikt voor phishing, wat in feite een identiteitsprobleem is – bezoekers weten niet wie achter de site zit en met wie ze communiceren. Op 20 maart 2017 publiceerde Vincent Lynch van de SSL Store een blog die aantoonde dat er 1.000 certificaten werden uitgegeven met de term "PayPal" erin. Meer dan 99% daarvan zijn bedoeld voor phishingsites.
Hoewel bedrijven zoals Let's Encrypt worden geprezen omdat ze op een gemakkelijke en efficiënte manier gratis DV-certificaten op de markt brengen, zorgt dit er ook voor dat miljoenen phishingwebsites het groene hangslot kunnen misbruiken om er betrouwbaarder uit te zien. Daarnaast werd onlangs het label "veilig" toegevoegd in de UI van enkele browsers voor alle sites die SSL gebruiken – waardoor zelfs een phishingsite als "veilig" wordt gemarkeerd als deze een DV-certificaat gebruikt.
Het probleem hier is een samenvoeging van privacy en identiteit – het hangslot, HTTPS en, in sommige gevallen, het label "veilig" in browsers staan alleen garant voor privacy (dat de verbinding met de site versleuteld is), maar sitebezoekers veronderstellen een bepaalde mate van legitimiteit wanneer ze deze veiligheidsindicatoren zien.
Scott Helme verwoordde het heel goed in zijn artikel:
De aanduiding "veilig" betekent dat de browser verbinding heeft gemaakt met een server met een geldig certificaat voor de domeinnaam waarmee we verbinding maakten dat werd uitgegeven door een CA die de browser vertrouwt en dat een versleutelde verbinding tot stand werd gebracht. Dat is alles. Meer betekent de groene HTTPS in de adresbalk niet. Het probleem is dat veel mensen geloven dat het veel meer betekent en dat dit de site een zekere geloofwaardigheid geeft.
Het lijkt erop dat een methode om de identiteit achter een website zichtbaar te maken voor bezoekers een goede oplossing zou zijn – een manier om te zeggen "jouw gegevens worden versleuteld EN je communiceert met wie jij denkt dat je communiceert". Deze geverifieerde identiteitsgegevens zijn volgens mij de echte waarde van EV en de reden waarom EV een blijver is.
Zoals hierboven besproken, is een van de doelstellingen van EV het identificeren van de juridische entiteit die een website controleert. Deze informatie staat al in het certificaat; deze moet enkel nog gemakkelijk toegankelijk zijn voor de bezoeker. Hoe deze informatie gepresenteerd wordt is een andere vraag – ik beweer niet dat de huidige methode de beste is en niet verbeterd kan worden – maar ik denk dat we, in plaats van EV volledig van tafel te vegen, moeten nadenken over hoe we de strenge processen voor identiteitsverificatie optimaal kunnen benutten en hoe we deze informatie op een betere manier kunnen weergeven aan bezoekers. En dat brengt me bij mijn volgende punt over de browser-UI.
Andere relevante artikelen over het gebruik van DV in phishing:
- https://textslashplain.com/2017/01/16/certified-malice/
- https://www.scmagazineuk.com/fraudsters-exploit-weak-ssl-certificate-security-to-set-up-hundreds-of-phishing-sites/article/535243/
- http://searchsecurity.techtarget.com/news/450415470/DV-certificates-abused-but-policing-may-not-be-possible
Browser-UI
In de screenshots uit Ian Carrols onderzoek kan je zien dat EV SSL er heel anders uitziet afhankelijk van de browser die je gebruikt.
1. Safari – verbergt de URL volledig!! Dit is niet goed voor gebruikers die een phishingsite proberen te herkennen.
2. Chrome – op dit moment toont Chrome EV met de bedrijfsnaam in het groen achter het hangslot. Voor meer informatie over het bedrijf achter het certificaat moet je met enkele muisklikken de certificaatgegevens openen.
In de discussiegroep over Mozilla beweerde Ryan Sleevi dat Chrome deze speciale kenmerken mogelijk zelfs uit de browser zal verwijderen:
Zoals jullie weten is Chrome nog steeds bezig met het evalueren of EV een speciale UI nodig heeft, zoals besproken in vorige vergaderingen van het CA/Browser Forum [1][2]. Dit vormt geen oordeel over de algemene waarde van EV in het ecosysteem, maar eerder over het nut dat browsers dergelijke certificaten onderscheiden of een speciale UI gebruiken.
3. Firefox – in tegenstelling tot Chrome kan je de locatie van een onderneming in twee muisklikken zien. Zoals Ian echter aangeeft zou een gebruiker moeten weten waar het bedrijf waarbij hij bestelt gevestigd is voordat hij kan nagaan of deze informatie overeenkomt.
Het lijkt vreemd dat medewerkers van Google voorstellen om de UI voor EV volledig te verwijderen wanneer het standaardiseren van de UI voor EV een grote stap zou zijn naar een oplossing voor de problemen met de waarde ervan.
Uiteraard controleert niet iedereen het land of de locatie van de website waar ze iets kopen, maar door een beter bewustzijn doen we dat misschien wel als we belangrijke websites zoals PayPal bezoeken. Als de EV-aanduidingen volledig verwijderd worden, komen we in een situatie terecht waarin geen enkele internetgebruiker nog kan oordelen of een website legitiem is. Pas nadat iemand gedupeerd is, zal de site een phishingfilter instellen. Ik geef de voorkeur aan een wereld waar browserherkenning duidelijk is en internetgebruikers weten waarop ze moeten letten, zodat minder mensen bedrogen worden en iedereen beslissingen neemt op basis van zijn eigen oordeel.
EV-validatie
Sommigen beweren dat EV-validatie een deel van het probleem is. Volgens de richtlijnen moet een certificeringsinstantie (CA) het volgende verifiëren:
- het juridische bestaan of de juridische identiteit van een aanvrager,
- het fysieke bestaan van een aanvrager,
- het operationele bestaan van een aanvrager.
Een aanvrager moet zich kwalificeren als privéorganisatie door zich te registreren bij een registratiebureau in zijn rechtsgebied. In veel gevallen betekent dat dat er een registratienummer is. Zoals we echter hebben gezien, is het heel eenvoudig om een bedrijf te registreren. De overheidsorganisaties voeren geen controles uit, maar wat zouden ze moeten controleren? Dat brengt ons bij punt twee en drie.
Hoewel een CA controleert dat het bedrijf geregistreerd is, zijn er nog enkele controles nodig om zeker te zijn dat de bedrijfsentiteit daadwerkelijk bestaat. Het fysieke bestaan van de entiteit kan worden vervalst met een virtueel kantoor, waardoor extra controles vereist zijn om na te gaan of de locatie echt en niet virtueel is. Een iets oplettendere validatiemedewerker zou op de aanvraag van Ian Carroll hebben gemerkt dat de bedrijfslocatie van Stripe niet "fysiek" was (bijvoorbeeld met behulp van Google Maps Street View).
Daarnaast, en dat is waarschijnlijk het belangrijkst, stelt het CA/B Forum dat we het operationele bestaan van een bedrijfsentiteit zouden moeten controleren. Dat biedt zekerheid dat de aanvrager daadwerkelijk een bedrijf runt. We hoeven niet te controleren of ze een juridisch en ethisch correct bedrijf runnen, maar deze vereiste had er wel voor gezorgd dat de validatiemedewerker de aanvraag van Stripe in vraag had gesteld.
Bij GlobalSign zijn we trots op onze strenge validatieprocedures waarbij we van tijd tot tijd verder gaan dan wat werd vastgelegd door het CA/B Forum. We hebben bijvoorbeeld interne procedures die bepalen dat er extra aandacht wordt besteed aan bedrijven die minder dan een bepaalde tijd geregistreerd zijn. We bekijken een organisatie vanuit een holistisch standpunt en gebruiken meerdere contactpunten om na te gaan of ze geregistreerd zijn, opereren vanuit een fysieke locatie en daadwerkelijk een bedrijf runnen.
Onze eigen Doug Beattie zei in de Mozilla-groep:
Het is in het belang van de CA om het beleid en de vereisten achter de uitgifte van EV te verbeteren. De financiële sector heeft regels die bekendstaan als "Know Your Customer" (KYC - Ken Uw Cliënt) en die bedoeld zijn om dingen zoals het witwassen van geld, financiering van terrorisme en dergelijke te voorkomen. Hoewel dit niet direct van toepassing is op CA's en EV, kan KYC wel dienen als model waarbij klanten worden doorgelicht voordat de CA bepaalde handelingen toestaat.
Zo vind ik het onverdedigbaar dat een CA een EV-certificaat uitgeeft voor een bedrijf zonder geschiedenis en slechts miniem bewijs levert voor zijn legitimiteit, zoals werd gedocumenteerd in de originele rapporten. Alle CA's moeten het op dat vlak beter doen. Het lijkt me niet onredelijk dat CA's een gedocumenteerde, reeds bestaande relatie met een EV-aanvrager moeten hebben voordat ze daadwerkelijk een EV-certificaat uitgeven.
Wat nu?
We zijn zelf een groot deel van het probleem en daarom heeft de CA Security Council van het debat over EV SSL een topprioriteit gemaakt. Samen met het CA/B Forum zullen er veranderingen worden doorgevoerd die gevolgen hebben voor de waarde van EV.
Ik denk dat er drie dingen moeten gebeuren en liefst zo snel mogelijk:
- EV SSL-certificaten mogen niet meer worden verkocht als een zilveren kogel tegen phishing. Hoewel ze bedrijven een manier bieden om hun identiteit aan hun websites te koppelen en die identiteit zichtbaar te maken voor bezoekers, waardoor deze legitieme sites met EV kunnen onderscheiden van valse sites met DV-certificaten, kunnen EV-certificaten alleen geen einde maken aan phishing.
- Browsers moeten samenwerken met CA's, in plaats van het tegengestelde. Ja, ze zijn verantwoordelijk voor hun producten en hoe ze deze verkopen, maar ook voor de manier waarop digitale certificaten (niet hun product) worden gezien in de markt. Mozilla en Google hebben allebei banden met Let's Encrypt en liggen daardoor niet echt wakker van EV SSL. Er moet iets gebeuren om het beleid af te dwingen en de UI te standaardiseren – hangslot voor DV, iets anders voor EV en de garantie dat URL's niet worden verborgen, zoals het geval was voor Safari bij EV. Dit moet worden besproken in het CA/B Forum.
- Strengere validatieprocedures moeten worden uitgewerkt en afgestemd tussen alle CA's zodat organisaties die EV aanvragen grondiger gecontroleerd worden en dat er weinig tot geen kans is dat een vals of illegaal bedrijf een EV SSL-certificaat kan aanvragen en bemachtigen.
Gelukkig hebben we een team van fantastische mensen bij GlobalSign die hun uiterste best doen om de nodige voorzieningen te treffen nog voordat een beleid is uitgewerkt. DV is een goede oplossing om de privacy te verzekeren, maar we weten ook hoe belangrijk het is om de identiteit in communicatie te verzekeren. Internetgebruikers beschermen met deze beide maatregelen is wat volgens ons nodig is en we blijven hiervoor ijveren.