Weet jij wie er effectief verantwoordelijk is als cybercriminelen jouw data stelen als je online bankiert of shopt? Je zult het niet geloven, maar zoals de internetbeveiliging op dit moment is ingericht ligt de verantwoordelijkheid voor de veiligheid van de verbinding bij jou, de klant. En als je die verantwoording niet nakomt dan heeft een bank of webshop weinig middelen om te voorkomen dat je beroofd wordt. Dit moet anders en het goede nieuws is dat dit ook kan. Online dienstverleners kunnen hun klanten deze verantwoordelijkheid uit handen nemen door het toepassen van twee nieuwe technologieën: DNSSEC en DANE.
DNSSEC en DANE
DNSSEC en DANE verleggen de verantwoordelijkheid voor de veiligheid voor de netwerkverbinding van de klant naar de dienstverlener. Daarmee wordt het voor de klant veiliger en gemakkelijker. Waarom is dit nodig zou je kunnen denken: "We hebben toch al digitale certificaten die de verbinding tussen de browser en de site beveiligen? Als de browser het certificaat vertrouwt dan krijg je een groen hangslotje in de adresbalk. Zo niet, dan krijg je rode schermen en moeilijke vragen." Dit klopt, maar helaas heeft de geschiedenis geleerd dat certificaten wel veiligheid kunnen bieden, maar dat het niet eenvoudig is voor eindgebruikers om échte van valse certificaten te onderscheiden. Want, wie kent er nu het echte certificaat van zijn bank? En wie controleert het ook werkelijk?
Valse certificaten
Certificate Authorities worden ook wel 'trusted third parties' genoemd. Trusted betekent dat zij vertrouwd moeten worden om het goed te laten werken. Dit komt omdat je als site-bezoeker geen controlemiddel hebt om na te kunnen gaan of het certificaat correct is uitgegeven. Je zult de door de site gekozen CA op hun blauwe ogen moeten geloven dat ze echt hun best hebben gedaan om de ware identiteit van de site-eigenaren te achterhalen alvorens het certificaat te verstrekken. De browser vertrouwt alle CA's in de lijst even goed en elk van hen is in staat om certificaten voor elk domein ter wereld aan te maken. Dit gelijke vertrouwen in de CA's betekent echter wel dat één rotte appel (deze keer Diginotar, de volgende keer een ander) de veiligheid van het hele systeem ondermijnt.
Nagelaten controle
Vertrouwen in alle CA’s alleen is dus niet voldoende, je moet als gebruiker een controle uitvoeren. Maar wie doet dat? Als site-bezoeker weet je meestal niet eens welke CA door de eigenaar van de site is uitgekozen voor hun certificaat, zodat je het niet eens kúnt controleren. Nu zou een beheerder dat op de website kunnen zetten zoals mijn bank een blauwe maandag heeft gedaan. De site toonde instructies om de beveiliging van de verbinding te controleren, maar dit werd ook snel weer verwijderd. En terecht. Het lijkt namelijk een goede oplossing tot je bedenkt dat het eerste dat criminelen doen met hun nep-website, is deze instructies aanpassen aan hun malafide certificaat. Dan weet je als gebruiker nog niet met wie je nu werkelijk verbonden bent.
Het is duidelijk dat het voor de klant te onduidelijk en te omslachtig is om deze controles bij iedere website uit te voeren. Dus dat moeten we ook niet van de klanten vragen. Daarom pleit ik ervoor de verantwoordelijkheid bij hen weg te nemen en deze te leggen waar het thuishoort: bij degene die de online dienst aanbiedt.
Verantwoordelijk wegnemen bij de gebruiker
Door het toepassen van DNSSEC en DANE door de site-aanbieder kan de browser van de klant zelf de controles uitvoeren. Het wordt veiliger en gemakkelijker voor de klant zonder dat deze er iets voor hoeft te doen.
DNSSEC is een protocol dat het DNS-verkeer beveiligt tegen manipulaties. Dit protocol geeft zekerheid dat de IP-adressen die een browser opzoekt ook de juiste zijn. In tegenstelling tot het oude DNS-systeem kan de browser dus niet meer gefopt worden met valse informatie. Je krijgt dus exact wat de site aan DNS-records publiceert. Maar daarmee zijn we er nog niet. Door DNSSEC heeft je browser wel de juiste adressen, maar het is voor criminelen nog steeds mogelijk het dataverkeer om te leiden zodat je alsnog bij hen uitkomt. Als zij op hun eigen site een vals certificaat plaatsen kleurt het hangslot in je browser alsnog groen. Gelukkig is ook hier een oplossing voor bedacht: DANE.
DANE
Met DANE specifieert de site-eigenaar wie de CA is voor haar site. De eigenaar plaatst een record in DNS en dit wordt beveiligd met DNSSEC zodat het niet gemanipuleerd kan worden door derden. De browser heeft nu niet alleen het juiste IP-adres, maar weet ook door welke CA het server certificaat ondertekend moet zijn. Dat is voldoende informatie om te controleren of het met de juiste site verbonden is. Deze controle is geheel automatisch door jouw computer uit te voeren bij elk bezoek aan de site. Valse certificaten kunnen dus ook geen kwaad meer doen, want alleen de door de site gekozen CA wordt geaccepteerd door de browser.
Er is dan nog wel een los eindje; hoe weet je zeker dat de data in DNSSEC correct is? Manipuleert niemand die gegevens? Met DNSSEC zijn er slechts drie partijen die het kunnen manipuleren: de DNS-registrar van de site, de .nl-registrar en de geheime diensten. Hoe kunnen we ons tegen hen wapenen? Dit is redelijk eenvoudig: Site-eigenaren moeten op onregelmatige tijden en vanaf verschillende plekken in de wereld checken wat er voor het domein in DNSSEC is vermeld. Klopt het niet, dan kunnen zij hier actie op ondernemen en zorgen dat hun klanten zijn beschermd tegen diefstal en phishing.
Verkoopargument
Met DNSSEC en DANE verschuift het hele landschap. Het afgedwongen vertrouwen in de CA's wordt vervangen door een controlestap in de browser. Dit ontslaat de klant van een onmogelijke opdracht. De veiligheid neemt toe. Mijn oproep aan alle banken, webshops, overheden,betalingsproviders en alle andere websites is dan ook: kom in actie! Het kost je bijna niks, elimineert een groot deel van de aanvallen en zorgt ervoor dat je beveiliging kunt inzetten als onderscheidende factor. Wie wil het zijn klanten niet makkelijker en veiliger maken?
