Let's Encrypt har utstedt tusenvis av sertifikater til rene phishingsider

[Harald Brombach (digi.no)]

Hengelåsen i nettleseren er ikke til stole på.

Let's Encrypt har utstedt tusenvis av sertifikater til rene phishingsider

[UX2JE8EY]

Artikkelforfatter kunne kanskje kommentert at digi.no selv bruker Let's Encrypt på sine egne nettsider?

[Harald Brombach (digi.no)]

Artikkelforfatter kunne kanskje kommentert at digi.no selv bruker Let's Encrypt på sine egne nettsider?

 

Det kunne selvfølgelig nevnes, og det er jo ikke noen hemmelighet (https://www.digi.no/artikler/kommentar-na-er-digi-no-over-pa-https/368037), men veldig relevant for saken er det jo ikke, siden det ikke er redaksjonen selv som har valgt sertifikatutsteder.

[Rudde]

Ja? Og? Dette er den eneste måten det kan være som de skal tvinge ssl.

[enNErd]

Spørsmålet som ksal stille er vel hvem som skal være ansvarlig for innholdet på en side.

Hengelåsen viser bare at koblingen mot siden er sikker. Ja dette er ikke så lett for alle forbrukere å forholde seg til men det er ikke Let's Encrypt sin feil.

En kan si at det er sertifikat utgiverne som har ansvar for at innholdet på siden er sikkert, men dette vil føre til en veldig tungvint validering av ssl og til at overgangen til sikker transport vil stoppe opp og at mange legitime tilbydere vil stoppe å bruke ssl.

Har man først fått et domene bør man kunne sikre trafikken dit.

Så kan man stille spørsmålet om det er opp til registrar, sertifikat utsteder, 3 parts programvare som brannmur e.l. eller en organisasjon som rapporterer og ber om invalidisering av domener/sertifikater å validere hvilke hensikt noen har med en site.

Synes nok kanskje at Digi tar litt lett på problemstillingene her og blåser opp en sak i kjent tabloid stil. Hadde vert mye finere med et flersidig syn på saken slik at man kan få en sunn debatt.

[henrikwl]

Hengelåsen er da til å stole på den. Det hengelåsen betyr, er at trafikken mellom browseren og siden er kryptert, og det vil stemme uansett om det er en phishing-side du ser på. Hengelåsen sier overhodet ingenting om hvem siden eies og driftes av - og det har den heller aldri gjort.

 

Med Extended Validation kan man også få denne funksjonaliteten ut av sertifikater, og da viser browseren et ekstra felt i tillegg til hengelåsen hvor det gjerne står firmanavnet til sidens eier. Denne vil typisk mangle for phishing-sider.

[Huseby]

Helt greit, HTTPS ble laget for å løse to problemer, når det egentlig skulle kun blitt designet for å løse ett. Dyre trust sertifikater førte til att mesteparten kommunikasjonen på Internett ikke er kryptert. Let's encrypt løste dette med å drite i trust steget, og det er faktisk helt fint. I ihvertfall nå så har du en enkel måte å opprette og benytte sertifikater, uten å bruke noen penger på det.

[Lostfields]

Hengelåsen er da til å stole på den. Det hengelåsen betyr, er at trafikken mellom browseren og siden er kryptert, og det vil stemme uansett om det er en phishing-side du ser på. Hengelåsen sier overhodet ingenting om hvem siden eies og driftes av - og det har den heller aldri gjort.

 

Med Extended Validation kan man også få denne funksjonaliteten ut av sertifikater, og da viser browseren et ekstra felt i tillegg til hengelåsen hvor det gjerne står firmanavnet til sidens eier. Denne vil typisk mangle for phishing-sider.

 

slike sertifikater koster også flesk gjør det ikke? for eksempel DnB.no har et slikt mener jeg.

[ventle]

 

 

slike sertifikater koster også flesk gjør det ikke? for eksempel DnB.no har et slikt mener jeg.

 

 

Rundt 200 dollar i året, kan det se ut til. Syns ikke det var avskrekkende dyrt.

[IM0T45WW]

Jeg synes dette er en ikke-sak. Lets encrypt gjør akkuratt det den skal gjøre. Sørge for sikker kommunikasjon mellom klient og tjener. Det kan følgelig ikke missbrukes. Om man skal peke ut en syndebukk her, og jeg liker ikke at det alltid skal være en syndebukk, så kunne man like godt pekt på nettleserne.

 

Nettleserne har drillet inn at hengelåsen betyr at det er sikkert, og nettleserne har lets encrypt som godkjent CA. Det finnes allerede løsning, Extended validation, som folk nevner. Industrien er bare missfornøyd med at de må betale for extended validation når de tidligere har sluppet unna med et enkelt SSL sertifikat.

[Bolson]

 

 

 

slike sertifikater koster også flesk gjør det ikke? for eksempel DnB.no har et slikt mener jeg.

 

 

Rundt 200 dollar i året, kan det se ut til. Syns ikke det var avskrekkende dyrt.

Ja, for enkeltdomene så ligger det omtrent der. Men de fleste som har EV - har Multidomene/SAN - og da er prisen en del høyere. USD 200 er også rabattert pris, mer normalt er rundt 5 - 6 000 NOK .

 

Men EV er i realiteten ikke dyrt. De fleste som bruker/har bruk for EV har nettløsninger med driftskostnader pr år av en størrelse som gjør sertifikat en marginal kostnad.

[Jan Olsen]

Helt OK situasjon.

 

Alle kan ikke være innholdspoliti for å sikre nettet for uvitne personer. HTTPS er kryptering og sikring av at man faktisk er på et gitt domene, og ikke noe mer.

 

At svindel også kan være kryptert burde ikke være noen nyhet.

[janhoy]

Synes nok kanskje at Digi tar litt lett på problemstillingene her og blåser opp en sak i kjent tabloid stil. Hadde vert mye finere med et flersidig syn på saken slik at man kan få en sunn debatt.

 

Helt enig. Supert at HTTPS er blitt allemannseie, så man unngår CIA og andre MITM snokere. Men ansvaret for å sjekke at domenet man har besøkt faktisk er www.paypal.com og ikke www.paypal.phising.com hviler ene og alene på forbruker. Så bør det vel også nevnes at de fleste nettlesere tilbyr å vise en advarsel når man er i ferd med å besøke en side som er kjent for skadevare eller phishing. Kanskje Digi kunne foreslått som en mulig løsning at disse funksjonene gjøres enda bedre?

 

Dessuten har det vel alltid vært mulig å kjøpe et wildcard sertifikat fra de etablerte SSL-haiene på f.eks. *.phishing.com så da ville de uansett ikke ha klart å hindre f.eks. paypal.com.phishing.com

[sirtommen]

Hengelåsen viser jo bare at koblingen til siden er kryptert. Det sier ingenting om siden er sikker av noe slag...

 

Det blir som å låse inne en bombe. "nei, her er det hengelås på døren, da er det ingenting ulovlig bak der"...

[Simon W. Hall]

slike sertifikater koster også flesk gjør det ikke? for eksempel DnB.no har et slikt mener jeg.

 

Kr. 1690,- i året for et Comodo sertifikat med EV :-)

https://www.proisp.no/ssl-sertifikat/comodo-ev/

 

Comodo er jo nesten den eneste du kan stole på om dagen.

Alt annet er jo eid av Symantec.

[Rudde]

 

slike sertifikater koster også flesk gjør det ikke? for eksempel DnB.no har et slikt mener jeg.

Kr. 1690,- i året for et Comodo sertifikat med EV :-)

https://www.proisp.no/ssl-sertifikat/comodo-ev/

 

Comodo er jo nesten den eneste du kan stole på om dagen.

Alt annet er jo eid av Symantec.

 

Buypass?

[lassevk]

Lets Encrypt sertifikater kan ikke benyttes til å verifisere at et nettsted som sier den er PayPal faktisk er PayPal, de kan kun benyttes til å få kryptert trafikken til og fra nettstedet. Kravet til å kunne bruke Lets Encrypt er at du har eierskap på domenet, dvs. at du kan redigere DNS og liknende for å bevise at du faktisk eier domenet du skaffer et sertifikat til, utover det går ikke Lets Encrypt god for noe som helst.

[daffyd]

Dessuten har det vel alltid vært mulig å kjøpe et wildcard sertifikat fra de etablerte SSL-haiene på f.eks. *.phishing.com så da ville de uansett ikke ha klart å hindre f.eks. paypal.com.phishing.com

 

100% enig - merkelig at dette ikke blir kommentert av artikkelforfatter og alle andre nyhetssteder som er ute etter å lage click-bait nyheter.

 

LetsEncrypt gjør verden en tjeneste! Etter hvert som LetsEncrypt får fotfeste så kanskje nettleserne bør vurdere å droppe hengelåsen for ssl og heller ha røde varsler for rene http-sider istedenfor? Dermed vil man ikke få noen hengelås ved verken

paypal.com.site.with.ssl.from.letsencrypt.com

 

eller ved

paypal.com.site.with.wildcard.certificate.com

 

eller ved

https://www.digi.no/

 

 

Det blir i alle fall feil å skylde på LetsEncrypt for dette.

[fuzzy76]

Her synes jeg faktisk alternativet høres betraketlig verre ut. Hvis jeg driver HåvardsFlotteSoftware.no og har lyst til å lage en administrasjonsside for mine kunder som bruker Paypal til å registrere lisensene sine – skal jeg nektes å legge den på paypal.håvardsflottesoftware.no og bestille sertifikat til siden?

 

Her synes jeg Kolochenko virker særdeles korttenkt til å være en CEO i et websikkerhetsselskap.

[timeshift]

Etter hvert som LetsEncrypt får fotfeste så kanskje nettleserne bør vurdere å droppe hengelåsen for ssl og heller ha røde varsler for rene http-sider istedenfor?

 

Dette er noe det jobbes med, for det er jo noe veldig feil og forvirrende å la usikre nettsteder slippe unna uten noen markering og samtidig markere det som bør være forventet standard.

– The Chromium Projects :  Marking HTTP As Non-Secure

– Google Security Blog : Moving towards a more secure web

– Mozilla Security Blog : Deprecating Non-Secure HTTP

 

Linuxdistribusjonen elementary OS er inne på de samme vurderingene når det gjelder merking av trådløse nettverk, hvor vi har en lignende forvirrende problematikk.