Je kunt de privacy van consumenten niet beschermen zonder een sterke website-identiteit
Vandaag is er veel aandacht voor de bescherming van de privacy van consumenten – in het Amerikaanse Congres, met de GDPR enz. – maar hoe kunnen we de privacy van gebruikers op het web beschermen zonder de identiteit van de websites vast te stellen die vragen naar de wachtwoorden van consumenten en creditcardnummers? Extended Validation (EV)-certificaten bevatten deze informatie en kunnen heel nuttig zijn voor consumenten.
Google en Mozilla kondigden onlangs aan dat ze de kenmerkende indicatoren in de browsers Chrome en Firefox willen verwijderen die gebruikers laten weten dat ze een website bekijken die geverifieerd is met een EV-certificaat. Volgens ons is dit een vergissing – en we zouden graag zien dat Mozilla en Google EV-data op innovatieve manieren gaan gebruiken – in plaats van deze te verbergen.
Dit is een belangrijk verhaal over identiteit en privacy op het web.
Ongeveer tien jaar lang doorlopen websites die gebruikers hun bevestigde identiteit willen tonen de Extended Validation (EV)-procedure wanneer ze SSL/TLS-certificaten kopen van hun certificeringsinstanties (CA's). De procedure omvat verschillende stappen, naar het voorbeeld van de regels "ken uw klant". Extended Validation omvat bevestiging dat de organisatie die het domein van het certificaat beheert rechtsgeldig opgericht is en een goede reputatie heeft. Om te bevestigen dat het een "echt bedrijf" is, moeten het adres en telefoonnummer van het bedrijf en het gezag van de persoon die het certificaat bestelt bevestigd worden. Deze bevestigde identiteitsgegevens worden dan in het EV-certificaat ingevoegd. Dit wordt cryptografisch ondertekend zodat het niet kan worden gewijzigd of nagemaakt door oplichters.
Elk EV-certificaat bevat heel wat informatie over de organisatie achter de website. Als voorbeeld vindt u hier een EV-certificaat uitgegeven aan Bank of America:
Uit deze informatie blijkt dat Bank of America een Amerikaans bedrijf geregistreerd in Delaware is, met als ondernemingsnummer 2927442 en dat het bedrijf een bevestigde vestiging in Chicago heeft. Deze informatie identificeert de organisatie die de website www.bankofamerica.com beheert op een ondubbelzinnige manier en geeft de wereld (gebruikers, ordehandhavers enz.) contactgegevens en zelfs mogelijk verhaal in het geval er iets slechts gebeurt op de website. Alle CA's ter wereld volgen dezelfde EV-validatieprocedures en voegen identiteitsgegevens op dezelfde manier in EV-certificaten in. De procedure is gestandaardiseerd volgens de Extended Validation Guidelines, ontwikkeld en beheerd door het CA/Browser Forum.
Veel grote ondernemingen – waaronder banken, financiële instellingen, ziekenhuizen enz. – gebruiken EV-certificaten om hun klanten en merken te beschermen tegen de vele phishers die deze proberen te imiteren.
Het belangrijkste alternatief voor EV-certificaten zijn Domain Validated (DV)-certificaten, die geen identiteitsgegevens bevatten.
DV-certificaten bevestigen alleen dat de eigenaar van de website het domein in het DV-certificaat beheert. In veel gevallen heeft de verlenende CA geen idee wie de eigenaar van de website is en kan deze op geen enkele manier contact opnemen met de eigenaar! Hier vindt u alle identiteitsgegevens in het DV-certificaat voor de website whoami.com:
De afgelopen tien jaar onderscheidden browsers websites die EV-certificaten gebruiken met een aparte EV-gebruikersinterface (UI), zodat gebruikers weten dat de identiteit van de website-eigenaar bevestigd werd door een externe CA. Daardoor gebeurt er vrijwel geen phishing op sites met EV-certificaten, terwijl phishers zijn overgestapt naar versleuteling met anonieme DV-certificaten. Phishing is dan ook dramatisch toegenomen op DV-sites.
Google Chrome en Mozilla Firefox verwijderen de huidige EV UI
Helaas heeft Google Chrome de aparte EV-gebruikersinterface verwijderd in de nieuwste versie van de browser, Chrome 77, vanaf september 2019. Mozilla deed hetzelfde in oktober. Na deze wijziging zien gebruikers alleen de URL van een website, hetzelfde als voor DV-sites. Dit zijn voorbeelden voor en na van de gebruikersinterface – in dit geval voor de website van de Amerikaanse Senaat, die een EV-certificaat gebruikt.
Voor – in Google Chrome 76
Na – in Google Chrome 77
Voor – in Firefox 69 voor GitHub, met een groene indicator voor EV-verificatie:
Na – in Firefox 69 voor GitHub, zonder groene indicator voor EV-verificatie:
We vinden dit een nadelige verandering, gebaseerd op de verkeerde of onvolledige analyse van de voordelen van sterke identiteitskenmerken voor websites.
Hieronder vindt u een overzicht van de redenen waarom we vinden dat Google en Mozilla hun beslissing moeten herzien en website-identiteit in hun EV UI's moeten herstellen om de beveiliging voor gebruikers en anderen te verbeteren.
Phishing op DV-sites neemt dramatisch toe. Gebruikers zijn veiliger op websites met EV-certificaten.
Tot voor kort bevond alle phishing en malware zich op onversleutelde http-sites. Ze kregen een neutrale UI en de criminelen hoeven geen tijd en geld meer te besteden aan de aankoop van een certificaat, zelfs een DV-certificaat, dat sporen van hun identiteit kan achterlaten. Gebruikers werd geleerd (en wisten hoe) op zoek te gaan naar het hangslotsymbool voor een betere beveiliging.
Toen gebeurde dit: (1) Google moedigde alle websites aan om over te schakelen naar versleuteling met behulp van de waarschuwing "Niet veilig", (2) Mozilla introduceerde een vergelijkbare waarschuwing "Niet veilig", en (3) Let's Encrypt begon met het aanbieden van anonieme, geautomatiseerde DV-certificaten voor iedereen, zelfs bekende phishingsites, deels via financiële ondersteuning op Platinum-niveau van Mozilla en Google.
Vanzelfsprekend heeft vrijwel alle phishing zich verplaatst naar met DV versleutelde websites, die een hangslotsymbool in webbrowsers krijgen. De FBI waarschuwde consumenten onlangs zelfs om https of het hangslotsymbool in browsers niet meer te vertrouwen omdat dit symbool intussen voor meer dan de helft van de phishingsites wordt weergegeven.
Browsers hebben zich nog niet hieraan aangepast. De phishingfilters in browsers, zoals Google Safe Browsing, zijn goed maar niet perfect. Volgens het meest recente rapport van NSS Labs uit oktober 2018 biedt Google Safe Browsing slechts 79% gebruikersbescherming bij "nul uur" en stijgt dit geleidelijk aan tot 95% bescherming na twee dagen. De meeste phishingsites worden echter binnen twee dagen uit de lucht gehaald – wat betekent dat duizenden gebruikers het slachtoffer kunnen worden voordat een site wordt gemarkeerd vanwege phishing.
Hier kunnen EV-certificaten helpen. Op websites met EV-certificaten komt heel weinig phishing voor. Nieuw onderzoek van de RWTH Aachen University, dat onlangs werd voorgesteld op Usenix, mat de frequentie van phishingsites met certificaten van verschillende validatieniveaus. EV-certificaten werden gebruikt voor 0,4% van het totale aantal phishingsites met certificaten, maar voor 7% van de "ongevaarlijke" sites (zonder phishing). Vergelijk dat met OV, waarbij 15% van de phishingsites dat certificaattype gebruikte en 35% van de ongevaarlijke sites. En vergelijk dat opnieuw met de certificaten van Let's Encrypt, goed voor 34% van de certificaten voor phishingsites en slechts 17% van de certificaten voor ongevaarlijke sites.
Dit onderzoek bevestigt de resultaten van een eerder onderzoek van 3.494 versleutelde phishingsites in februari 2019. In dit onderzoek was de verdeling van versleutelde phishingsites volgens certificaattype als volgt:
EV 0 phishingsites (0%)
OV 145 phishingsites (4,15%)*
DV 3.349 phishingsites (95,85%)
* (Deze OV-certificaten op phishingsites waren hoofdzakelijk multi-SAN-certificaten aangevraagd door CDN's zoals Cloudflare, met meerdere URL's voor websites waarvan de inhoud geen deel uitmaakte van het onderwerp van het OV-certificaat. Misschien zouden dergelijke certificaten beter DV dan OV zijn.)
Bovendien blijkt uit onderzoek door Georgia Tech dat EV-sites steeds minder geassocieerd worden met malware en gekende slechte partijen.
Dat betekent dat gebruikers veiliger zijn wanneer ze sites met EV-certificaten bezoeken – en dat het nuttig is om gebruikers dit te laten weten.
Het idee dat gebruikers niet reageren op positieve veiligheidsindicatoren slaat de plank mis.
De browserbedrijven hebben verklaard dat omdat eindgebruikers de EV-indicatoren in de browser niet begrijpen en er niet op reageren, ze overbodig zijn – en kunnen worden vervangen door enkel een positieve indicator van onveilige – onversleutelde – sites.
Wij zijn van mening dat deze analyse geen rekening houdt met het volgende:
- Het internet geeft de eindgebruiker een duidelijke aanduiding van de veiligheid van een site in de EV-indicatoren. Browsers moeten dit als kans beschouwen om gebruikers op te leiden, niet om nuttige informatie te verwijderen.
- Gebruikers zijn geen homogene groep en ze gedragen zich niet allemaal hetzelfde. De meeste mensen die dit artikel lezen controleren daadwerkelijk of er een EV-indicator aanwezig is. Deze indicator aan sommige gebruikers tonen is beter dan aan niemand.
- Het gedrag van gebruikers verandert naargelang de context. Een websitebezoeker kan last hebben van "interfaceblindheid" wanneer alles goed gaat. Maar wanneer er iets verdachts gebeurt, kan hij hyperbewust worden. De aanwezigheid van een EV-certificaat geeft ordehandhavers en dergelijke een duidelijke aanpak bij de vervolging van online criminelen.
- Positieve veiligheidsindicatoren werken in veel andere contexten waarin verwachtingen voorspelbaar zijn – en zouden met normen en opleiding ook beter werken in browsers. Laten we een voorbeeld uit het dagelijkse leven nemen: de veiligheidsgordel. De meesten onder ons verwachten het gevoel van een veiligheidsgordel over hun heupen en schouders wanneer ze in de wagen zitten, en zonder voelen we ons ongemakkelijk. Dat is een positieve veiligheidsindicator. We missen de gordel wanneer deze er niet is omdat het consequent, alomtegenwoordig, vanzelfsprekend en belangrijk voor ons is.
Er is geen reden waarom een veiligheidsindicator voor identiteiten niet aan dezelfde criteria kan voldoen. Helaas zijn EV-veiligheidsindicatoren in browsers inconsequent en veranderen deze voortdurend, waardoor het moeilijk is om gebruikers op te leiden. Deze nadelen kunnen allemaal worden aangepakt als bedrijven zoals leveranciers van belangrijke browsers en besturingssystemen hiervan een prioriteit zouden maken.
Alleen op de URL vertrouwen is onvoldoende om gebruikers te beschermen
Zonder de EV-identiteitsindicator in Chrome of Firefox moeten gebruikers vertrouwen op de URL en een tussenliggende waarschuwing, als en wanneer een phishingsite geïdentificeerd wordt. Maar zoals beveiligingsonderzoekers van Google stelden "hebben mensen het bijzonder moeilijk om URL's te begrijpen. Ze zijn moeilijk te interpreteren, het is moeilijk te weten welk gedeelde vertrouwd moet zijn en in het algemeen denk ik niet dat URL's een goede manier zijn om de identiteit van een site te communiceren."
Voor een EV UI hoeven gebruikers de URL niet onderzoeken – deze identificeert enkel de eigenaars van websites en verzekert de gebruikers dat de site geverifieerd is en waarschijnlijk geen phishing bevat.
Sommige tegenstanders van de EV-gebruikersinterface beweren dat deze moet verdwijnen omdat gebruikers de weergegeven specifieke bedrijfsgegevens niet begrijpen of niet kunnen beoordelen.
Dit is een reden om de EV-indicator te verbeteren in plaats van deze te verwijderen. Een verbeterde EV UI zou een eenvoudige indicator "identiteit/geen identiteit" kunnen bevatten – een groen hangslotsymbool en URL voor identiteit (EV), zwart voor geen identiteit (DV). Als gebruikers de specifieke organisatiegegevens voor de identiteitssites willen zien, kunnen ze deze weergeven met een klik op het groene hangslotsymbool. Met een beetje gebruikerstraining (zoals een pop-up waarin wordt uitgelegd wat de groene UI betekent gedurende enkele maanden) kunnen gebruikers hun voordeel doen met deze informatie.
Een duidelijke EV-indicator biedt proactieve beveiliging, terwijl phishingfilters in browsers alleen reactief zijn, wat betekent dat sommige gebruikers een slachtoffer van phishing zullen worden
De browsers het certificaat laten controleren en de status tonen aan gebruikers is proactieve beveiliging. Vertrouwen op een browserfilter om gebruikers te beschermen tegen phishing, daarentegen is zoals mensen anoniem het vliegtuig laten nemen en beloven om passagiers die een wapen aan boord smokkelen niet meer toe te laten op toekomstige vluchten, terwijl de andere passagiers worden aangevallen. Zonder certificering kan de uitgesloten phisher zelfs hun site platleggen en opnieuw dezelfde oplichtingstruc uitvoeren vanaf een nieuw domein – gedurende enkele dagen vrij van phishingfilters.
Geïdentificeerde websites belonen met een opvallende EV UI is een manier om gebruikers proactief te beschermen voordat ze persoonlijke gegevens invoeren op een website.
Phishers zullen geen EV-certificaten beginnen gebruiken als de openbare herkenning van de EV UI toeneemt
Een aantal branche-experts werpt op dat als het gebruikersvertrouwen in EV-sites toeneemt, phishers net EV-certificaten zullen beginnen gebruiken. Dat is mogelijk, maar houd rekening met het volgende: – zodra een phisher met een EV-certificaat dit gebruikt voor oplichting, zal de uitgever het certificaat waarschijnlijk intrekken en de *naam* van de organisatie en de phishingdomeinen toevoegen aan zijn zwarte lijst – en de organisatie (een specifiek bedrijf geïdentificeerd met naam, staat van oprichting en serienummer) zal nooit meer een EV-certificaat kunnen krijgen bij die CA.
CA's stellen bovendien gezamenlijke zwarte lijsten voor EV-certificaten op, zodat een bedrijf dat zich heeft schuldig gemaakt aan phishing waarschijnlijk geen EV-certificaat meer zal kunnen bekomen bij geen enkele CA. Dat is een van de redenen waarom phishers vandaag geen EV-certificaten gebruiken – het is te duur en tijdrovend als je het EV-certificaat van je bedrijf slechts voor één phishingcampagne kan gebruiken.
Aanbevelingen
Wij maakten deel uit van de groep die de originele EV-specificaties heeft opgesteld. Toen voorzagen wij dat EV een constante, evoluerende standaard zou worden die de gemeenschap verder zou verbeteren. Als we de bezwaren horen dat EV niet perfect is, denken we automatisch aan het spreekwoord dat het beste de vijand is van het goede. EV is goed. Het is heel goed en de statistieken tonen aan dat het van het internet een veiligere plaats helpt maken. Laten we onze energie gebruiken om het nog beter te maken.
De CA Security Council is van mening dat de industrie de indicatoren van EV-certificaten verder zou moeten ontwikkelen, in plaats van ze te verwijderen:
Om phishing tegen te gaan en de identiteitsnormen voor websites op te trekken, vinden we dat browserbedrijven moeten samenwerken en gemeenschappelijke beveiligingsindicatoren voor laptops en mobiele apparaten moeten ontwikkelen, en een beroep moeten doen op CA's voor gebruikerstraining om gebruikers goede beslissingen te helpen nemen op basis van de beschikbare identiteitsgegevens. Gemeenschappelijke normen voor indicatoren zijn bijzonder succesvol gebleken.
Een ander voorbeeld: Het stopbord verschilde vroeger van land tot land en regio tot regio voordat het gestandaardiseerd werd. Als stopborden overal anders waren en gebruikers niet wisten wat ze betekenden, zouden sommigen kunnen stellen: "Chauffeurs gebruiken stopborden niet om veiligheidsbeslissingen te nemen (zoals hun auto stoppen), dus laten we alle stopborden verwijderen." Daardoor zouden onze wegen uiteraard nog minder veilig worden. Aangezien phishing aanvallen blijven toenemen en evolueren, moeten onze identiteits- en beveiligingsnormen – en gebruikerstraining – dat ook.
Dit is een goede gelegenheid voor innovatie en samenwerking en dat zal zowel webgebruikers als de hele industrie ten goede komen.
Dit artikel werd opnieuw gepubliceerd met toestemming van de CA Security Council.
