Certificaten worden niet alleen gebruikt om een verbinding te beveiligen door deze te encrypten. Sterker nog in de meeste gevallen wordt de Encryptie door een heel ander onderdeel verzorgt. Waar een Certificaat altijd voor gebruikt wordt is Authenticatie, dit betekent het vaststellen en controleren van de identiteit van iemand of iets. Dit “iets” is in dit voorbeeld een website.
Wanneer u gebruik maakt van de website van uw Bank om uw bankzaken te regelen, dan vindt er al een Authenticatie plaats nog voor u de kans krijgt om uw inlog-gegevens in te vullen. Deze identificatie is vergelijkbaar met de identificatie die plaatsvindt wanneer u geld uit een Bank-automaat gaat halen. Nog voor u de kans krijgt om uw bankpas uit uw broekzak te halen, vindt er al een Authenticatie plaats. Geheel automatisch en voor u inmiddels vanzelfsprekend gebeurt er het volgende….. U Authenticeert de Bank-automaat, u stelt vast dat dit een automaat is die voldoet aan de eisen die u stelt. Dit is precies wat onze browser doet bij het bezoeken van de website van de Bank. Onze browser stelt vast, middels het Certificaat, dat de identiteit van de bezochte website klopt. En onze browser is de enige die dat ook KAN. Wij als personen kunnen dit NIET controleren, dat lijkt alleen maar zo.
Certificaten zijn vergelijkbaar met Paspoorten, deze kunnen niet worden nagemaakt en de kopie zal er enkel op lijken. Helaas zijn wij als mens niet in staat een vals Paspoort te HERKENNEN, voor ons is het onmogelijk om alle kenmerken te kennen en ook te controleren. Een computer, en specifiek een Browser, kunnen we prima programmeren zodat deze alle kenmerken kent en dus ook herkent. Wanneer een kwaadwillende ons voor de gek wil houden moet deze dus de Browser manipuleren, maar dit is haast onmogelijk door alle beveiligingen in ons systeem. De GROENE kleur kun je alleen voor elkaar krijgen wanneer je de betreffende browser manipuleert en vertelt dat dit wel te een Extended Validation Certification Authority heeft gemaakt, dit is onmogelijk tenzij het hele systeem vol virussen is geduwd.
The Next Best Thing voor een kwaadwillende is de eindgebruiker overtuigen dat de website te vertrouwen is, hierbij is het de bedoeling dat de eindgebruiker alle waarschuwingen van de Browser in kwestie moet negeren. Deze manier van Hacken heet Social Enginering. Dit gaat kwaadwillende steeds beter af, doordat onze Regering en Banken het ons te moeilijk maken. Zij proberen ons bij te brengen HOE u kunt vaststellen dat een identiteit niet klopt. EN DAT KUNNEN WIJ NIET VASTSTELLEN. Vaak wordt er verwezen naar vele spelfouten, URL’s die niet kloppen en soms wordt er zelfs verwezen naar Certificaten. Dit is belachelijk. Als je een beetje nadenkt wordt het logisch dat de spelfouten steeds minder zullen worden, en uiteindelijk zullen verdwijnen. Als iemand de URL van zijn Bank uit zijn hoofd weet, dan heeft hij/zij een IT achtergrond en dat is de kans dat deze persoon erin trapt al kleiner. Vraag een niet IT-er naar de URL van zijn/haar Bank en de kans dat je een goed antwoord krijgt is NUL! Hoe kan deze persoon dan controleren of deze klopt?!?!? Met Certificaten wordt het nog belachelijker, hiervan weet een gemiddelde eindgebruiker niet eens het bestaan, laat staan dat ze dit kunnen controleren.
Bij het bezoeken van de website zal onze Browser ons aangeven dat we de juiste site hebben gevonden, hiervoor gebruikt deze een GROENE kleur. Dat betekent dat er een gecontroleerd bedrijf achter de website zit, en de naam ervan wordt in de GROENE balk weergegeven. Mocht de balk ROOD zijn, dan snapt iedereen dat dit niet handig is. Maar deze balk kan ook ongekleurd zijn, en zodra een kwaadwillende de eindgebruiker overtuigd heeft om deze signalen te negeren, heeft ie beet! Een kwaadwillende kan eenvoudig de website van een Bank kopieren en daar teksten aan toevoegen, hierbij kan deze bijvoorbeeld aangeven dat er waarschuwingen van de Browser genegeerd moeten worden omdat er een technische storing is, en dat men bijvoorbeeld zelf naar een Certificaat moet gaan kijken. Hieronder heb ik een aantal Certificaten staan, waarvan een gemiddeld eindgebruiker niet kan zien of deze juist zijn., onze Browser wel! Een kwaadwillende zou op een hele simpele manier een gebruiker kunnen vragen zelf eens te kijken en het drie keer kloppen toe te passen (op een verkeerde manier dan).
Warning!
1. Klopt de naam van het Certificaat en komt deze overeen met de website de bezoekt
2. Klopt de naam bij de Issued by en is deze precies “Symantec Class 3 EV SSL CA – G3” of “VeriSign Class 3 Extended Validation SSL SGC CA”
3. Klopt de datum van het Certificaat
Zodra een eindgebruiker 1 van de onderstaande plaatjes ziet, zal hij/zij onterecht concluderen dat de Browser het verkeerd heeft en dat hij/zij toch gewoon kan inloggen.
En mocht je de Certificaten zelf willen bekijken klik dan op deze link.
Ook wordt er door veiliginternetten.nl gepraat over een “slotje” waar men op kan klikken….. Tja, wat zullen we daar over zeggen… Ik heb namelijk ook een “slotje” in mijn adresbalk staan, maar volgens mij heb ik mijn punt nu wel gemaakt.