Halvdelen af alle phishing-sider viser HTTPS-lås: Mange tror siderne er sikre

skræmmende.... simpelhen skræmmende.... jeg var efter MMF (maskinmesternes fagforening) for at behandle data indsamling (der i blandt CPR nr.) og siden ikke var krypteret. hvilket siden hen er blevet opdateret. men hvis selv den lås ikke er en sikring om at siden er krypteret. så gør det jo ikke nemt for borgerne....

Bør løses ret let ved at indføre at ejeren af certifikatet hæfter juridisk.
Hvis ejeren ikke er en gyldig entitet så køre kravet opad indtil det når rod CA'en.

Alle krav mod en rod CA skal offentliggøres, så alle (MS etc.) kan tage stilling til om man vil have tiltro til den pågældende CA.

Så bør den praksis forsvinde ret hurtigt.

antimate (1) skrev:

skræmmende.... simpelhen skræmmende.... jeg var efter MMF (maskinmesternes fagforening) for at behandle data indsamling (der i blandt CPR nr.) og siden ikke var krypteret. hvilket siden hen er blevet opdateret. men hvis selv den lås ikke er en sikring om at siden er krypteret. så gør det jo ikke nemt for borgerne....

laasen hviser kun om din forbinnelse mellem dig og den er krypteret. Hvis siden er lavet til at fuppe eller andet saa er det lige meget om den bruger https.

Kort sagt hvis jeg har forstaaet korrect. HTTPS er lavet via et Hand shake med certificater, for at have et trusted certificat kan du betale bruge nogen af de offenlige. maaske er der en kost til de.t

ScorpD (2) skrev:

Bør løses ret let ved at indføre at ejeren af certifikatet hæfter juridisk.
Hvis ejeren ikke er en gyldig entitet så køre kravet opad indtil det når rod CA'en.

Alle krav mod en rod CA skal offentliggøres, så alle (MS etc.) kan tage stilling til om man vil have tiltro til den pågældende CA.

Så bør den praksis forsvinde ret hurtigt.

Det vil kun straffe de små sider hvor arbejdet er større end gevinsten ...

Hvis det blev indført, så ville "Let's Encrypt" dø ... jeg er stor fan af det, specielt da det er nemt og billigt. Ja, folk udnytter det, men det er kun et problem for dumme folk :-)

Men ... dette kommer _ALDRIG_ til at ske ... så ville det nok være nemmere at løse problemet med spam, hvor man skulle melde sin mailserver til.

syska (4) skrev:

ScorpD (2) skrev:

Bør løses ret let ved at indføre at ejeren af certifikatet hæfter juridisk.
Hvis ejeren ikke er en gyldig entitet så køre kravet opad indtil det når rod CA'en.

Alle krav mod en rod CA skal offentliggøres, så alle (MS etc.) kan tage stilling til om man vil have tiltro til den pågældende CA.

Så bør den praksis forsvinde ret hurtigt.

Det vil kun straffe de små sider hvor arbejdet er større end gevinsten ...

Hvis det blev indført, så ville "Let's Encrypt" dø ... jeg er stor fan af det, specielt da det er nemt og billigt. Ja, folk udnytter det, men det er kun et problem for dumme folk :-)

Sjovt du nævner Let's Encrypt. Det første jeg gør når jeg sætter en ny computer op er at untruste DST Root CA X3.

https://www.theinquirer.net/inquirer/news/3007326/...

Let's Encrypt burde virkelig dø.


Og det er ret useriøst at skrive at det kun er et problem for dumme folk...Især når der lige ovenover står at 80 procent af de adspurgte troede at hændelås = sikker.

Frem til Let's Encrypt (LE) blev en ting så var der som regel et gebyr for at få et certifikat og en form for validering af identiteten hos de fleste udbydere som var trusted.

Det lille form for validering er nu væk med LE.

LEs eneste fordel er at det giver et OK på HTTPS. I sidste ende er det ikke meget mere sikkert end et self-signed certifikat (SSC).

Med SSC er forbindelsen jo stadig krypteret, din browser klager bare fordi du ikke kan have tiltro til certifikatet. Det kan du på lige mod heller ikke med paypel.ccm.myrandomdomainthatipurchased.com som LE nok fint vil give grønt lys for.

LE er i min optik ikke mere værd end SSC, det har bare skabt mindre grund til at have tillid til HTTPS.

ScorpD (5) skrev:

Let's Encrypt burde virkelig dø.

Sikke noget fis!

Idéen er jo at få krypteret forbindelsen til serveren, så tredjepart ikke kan kigge med og det løser Let's Encrypt fint.

At der så til gengæld er problemer med at nogen registrerer domænenavne til phishing er et helt andet problem. Det burde dem, der udsteder domænerne sørge for ikke sker.

Det undrer mig dog grænsløst at et stort firma som PayPal linker til "paypal-communication.com" i stedet for fx. at bruge communication.paypal.com, så de holder samme hoved-domæne. Det er firmaer som dem, der ødelægger ideen med kun at checke det domæne man går ind på.

#2
Wut? Der ved udstedelse af Domain Validation (DV) certifikat intet tjek af indholdet af siden da formålet med dette udelukket er at kunne bevise at du rent faktisk snakker med den server som domænet peger på.

Hvis der rent faktisk skulle foretages sådan et tjek så ville det hurtigt blive et ekstremt stort bureaukratisk arbejde eftersom du ved flere leverandører kan få DV certifikater der først udløber efter 1-2 år. Så ikke nok med at du skal foretage et "phishing-tjek" når certifikatet udstedes, du skal også gøre det løbende for at sikre siden fortsat ikke er oprettet til skadeligt formål. Hele denne process kan på ingen måde automatiseres da det ofte vil være en menneskelig vurdering om en side faktisk er skadelig (tænk på alle grænsetilfælde). Du kan heller ikke overlade det til brugerindmeldinger da dette ville kunne stærkt misbruges til at tage sider ned.

Uanset om du betaler for dit DV certifikat eller ej så er der præcist samme fremgangsmåde i verificeringsprocessen. Processen besluttes i et udvalg hvor alle certifikatudstedere deltager sammen med virksomhederne der har rod-certifikat puljer (Microsoft, Mozilla, Apple osv.). Dette sikre en ensretning i processen blandt leverandører således der er lige stort niveau af "trust" blandt alle leverandører.

Du kan så argumentere for at der er en mere kompliceret verificering ved OV (Organization Validation) og EV (Extended Validation) certifikater men dette er stærkt tvivlsomt da vi har set flere tilfælde de seneste år hvor disse certifikater ikke har vist sig at være så "sikre" som først antaget. Problemet var at browsere ikke viste hvad land certifikatet var udstedt til hvilket kunne betyde at der sagtens kunne være flere virksomheder med samme navn. Desuden så er EV certifikatet heller ikke noget bevis for at siden er sikker på nogen måde udover at du med sikkerhed ved at personen bag har betalt en masse penge for evt. at snyde dig.

Vi kan så argumentere om hele konceptet skal gentænkes således at certifikater faktisk bruges til at bevise at sider heller ikke er skadelige. Men det vil, som tidligere nævnt, blive en vanvittig stor og kompliceret opgave hvor der endda ingen garanti er for at det faktisk vil løse problemet udover det bliver ekstremt meget dyrere at anskaffe certifikater.

Jeg tror dog vi er bedre tjent med gratis certifikater således vi faktisk får krypteret internettet samt verificere at det indhold vi henter ned faktisk er det rigtige og ikke noget der er modificeret i et mellemled (læs skrækhistorier fra internetleverandører i USA der ændre indholdet af siderne for at vise reklamer).

#5
Åh du mener den artikel der tager udgangspunkt i et blog-indlæg skrevet af en virksomhed der sælger certifikater og som lider grusomt af Let's Encrypt? Den er lige letkøbt nok og hele kritikken baserer sig om en (bevist?) mangelfuld forståelse af rollen som certifikatudsteder. Antallet af certifikater der er blevet trukket tilbage pga. svindel både før og efter Let's Encrypt har været ekstremt småt. Grunden til det er steget er det er blevet nemmere at få et certifikat.

Det er temmelig useriøst at sige "Let's Encrypt burde virkelig dø" eftersom der også var mulighed for gratis certifikater før Let's Encrypt og disse var endda valide et år af gangen. Processen for at få disse var dog ikke fuldt ud automatisk og krævede derfor noget manuelt arbejde. Men der var ingen validering af indholdet af siden.

Jeg mener i stedet vi skal pege fingre af browser-leverandørerne som bør stoppe med overhovedet at vise hængelåsen når der er HTTPS og i stedet vise en rød (eller gul) hængelås når der kommunikeres HTTP. Dette er dog også nået Chrome er på vej til at ændre i de næste par måneder (fx er den blevet grå i nuværende release).

Det er i hvert fald komplet idiotisk at droppe gratis certifikater af de årsager der er nævnt i artiklen.

rudolf (8) skrev:

#2
Hvis der rent faktisk skulle foretages sådan et tjek så ville det hurtigt blive et ekstremt stort bureaukratisk arbejde eftersom du ved flere leverandører kan få DV certifikater der først udløber efter 1-2 år. Så ikke nok med at du skal foretage et "phishing-tjek" når certifikatet udstedes, du skal også gøre det løbende for at sikre siden fortsat ikke er oprettet til skadeligt formål. Hele denne process kan på ingen måde automatiseres da det ofte vil være en menneskelig vurdering om en side faktisk er skadelig (tænk på alle grænsetilfælde). Du kan heller ikke overlade det til brugerindmeldinger da dette ville kunne stærkt misbruges til at tage sider ned.

Bemærk at det eneste jeg lægger op til er at en juridisk entitet tilknyttes et certifikat ved oprettelse. Ikke nogen form for krævet "phishing-tjek", ikke noget med at CA’en skal stå til ansvar for phishingforsøg, men at de derimod står til ansvar for at have indhentet gyldige oplysninger og at entiteten herefter hæfter juridisk.
Ja, hvis CA’en ikke er i stand til at validere entiteten godt nok, så vil de se sig nødsaget til at indføre phishing-tjek som beskyttelse, men det gør Let's Encrypt jo allerede ved oprettelse.

Ja, man kan så diskutere om dette er udstedernes opgave eller om det ene og alene bør håndteres på domæne-niveau. Problemet er blot at lige meget om man syndes om det eller ej, så forbinder forbrugerne hængelåsen med sikker handel og et domæne (uden hængelås) med usikker handel.

rudolf (8) skrev:

#5
Åh du mener den artikel der tager udgangspunkt i et blog-indlæg skrevet af en virksomhed der sælger certifikater og som lider grusomt af Let's Encrypt? Den er lige letkøbt nok og hele kritikken baserer sig om en (bevist?) mangelfuld forståelse af rollen som certifikatudsteder. Antallet af certifikater der er blevet trukket tilbage pga. svindel både før og efter Let's Encrypt har været ekstremt småt. Grunden til det er steget er det er blevet nemmere at få et certifikat.

Nej, jeg untruster af den simple årsag at hver gang jeg har stødt på et phishingforsøg hvor der er blevet gjort brug af SSL, så har certifikatet været udstedt af Let's Encrypt.

rudolf (8) skrev:

Det er temmelig useriøst at sige "Let's Encrypt burde virkelig dø" eftersom der også var mulighed for gratis certifikater før Let's Encrypt og disse var endda valide et år af gangen. Processen for at få disse var dog ikke fuldt ud automatisk og krævede derfor noget manuelt arbejde. Men der var ingen validering af indholdet af siden.

Igen, så har jeg aldrig personligt stødt på phishingforsøg hvor der blev gjort brug af certifikater fra andre end Let's Encrypt. Om jeg har været ”heldig”, eller om de andre gratis certifikater har haft bedre forholdsregler eller mere manuelle processer skal jeg ikke gøre mig klog på.

rudolf (8) skrev:

Jeg mener i stedet vi skal pege fingre af browser-leverandørerne som bør stoppe med overhovedet at vise hængelåsen når der er HTTPS og i stedet vise en rød (eller gul) hængelås når der kommunikeres HTTP. Dette er dog også nået Chrome er på vej til at ændre i de næste par måneder (fx er den blevet grå i nuværende release).

Ja det er en god ide, som burde have været implanteret fra dag 1.
Der har været en del informationskampagner som, i bagklogskabens lys, måske burde have bragt budskabet på en lidt anden måde.
Hvordan skal en alm. bruger kunne forstå at hængelås er ikke det samme som sikker, når vi har fået ørene blæst fulde af at man skal huske at tjekke hængelåsen når man handler på nettet.

#1+2

Https er jo kun en protocol og phishing og andet fusk sker på sitet. Certifikatudstederne skal vel ikke ind i en normativ vurdering, særligt fordi vi så hurtigt bliver politiske i udstedelsen af certifikater.

Folk skal oplyses om, at det eneste https gør, er, at ingen snupper dine oplysninger mellem din computer og websitet.

#9 De har alt 'reklameret' med en sikker forbindelse, lidt som i amerikanske film, så kan både præsidenten og terroristerne brug en sikker forbindelse, for igen, det betyder kun, at ingen lytter med

#9
Problemet med din strategi med at untrust Let's Encrypt er at du derved også untruster det overtal af valide hjemmesider der gør brug af Let's Encrypt (fx newz.dk). Det virker derfor som noget af en overreaktion på et problem som bør fikses på anden vis.

Du kan så manuelt trust hver af de sider du ønsker at trust men det gavner bare ikke din sikkerhed på nogen nævneværdig måde da du stadig er sårbar overfor HTTP sider?

Der er også et sikkerhedsproblem i at gøre det du gør. Der er en stor forskel på om en hjemmeside bliver godkendt af din browser pga. et valid rodcertifikat eller om det er godkendt manuelt af dig som bruger. Ved sidstnævnte er det op til dig at tjekke efter om hele kæden (eller serverens certifikat er korrekt hvilket kan være svært uden at stole på andre) er valid da du ellers kan risikere at godkende et certifikat med et invalid rodcertifikat (fx ved man-in-the-middle). Eftersom du har untrusted roden ved Let's Encrypt certifikater så kan din browser ikke hjælpe med at fortælle dig om roden er sund.

Jeg tvivler meget på du orker at lave dette manuelle "sikkerhedstjek" for hver side du besøger og derfor ender du i sidste ende med at gøre dig mere sårbar.

At du ikke har oplevet nogen scam sider uden Let's Encrypt undre mig en del. Fx vil stort set alle sider der gør brug af Cloudflare bruge COMODO. Men det kan self. være at scammere ikke har så meget trafik at de ligefrem smider en cache foran. :)

rudolf (11) skrev:

Du kan så manuelt trust hver af de sider du ønsker at trust men det gavner bare ikke din sikkerhed på nogen nævneværdig måde da du stadig er sårbar overfor HTTP sider?

Der er også et sikkerhedsproblem i at gøre det du gør. Der er en stor forskel på om en hjemmeside bliver godkendt af din browser pga. et valid rodcertifikat eller om det er godkendt manuelt af dig som bruger.

Nej, for der er ingen sider der manuelt bliver godkendt af mig.

Hvis en side er untrusted så køre jeg den i en isoleret "untrusted" VM, på samme måde som hvis jeg henter filer hvor jeg har svært ved at bekræfte ophavet eller arbejder med malware samples. VM'erne bliver minimum wiped én gang om dagen, og der er aldrig cross-contamination (classification-grouping) :)

Og ja, jeg ved godt at VM og malware er fyfy, men jeg syndes nu at det er lettere/mere praktisk at omgå VM-detection end alternativerne.

#12
Hvis det er din strategi så er det fint men jeg vil så anbefale dig at browse alle hjemmesider igennem din VM da certifikater på ingen måde kan bruges til at udpege om en given hjemmeside skulle være et sikkerhedsproblem. Du bør derimod antage at alle hjemmesider potentielt kan skade din computer. Også sider du før har følt tiltro til.

Selv mener jeg så den risiko er for lav til jeg gider bruge en VM til min browser (især fordi de mest personlige oplysninger om mig kommer netop igennem min browser). Men fred være med det hvis der er nogen der laver den slags krumspring hvis det kan få dem til at føle sig mere sikker. :)

ScorpD (5) skrev:

Og det er ret useriøst at skrive at det kun er et problem for dumme folk...Især når der lige ovenover står at 80 procent af de adspurgte troede at hændelås = sikker.

Jeg kalder en spade for en spade ... længere er den ikke.

Har selv været med til at lave et phising angreb på en side hvor vi brugte LE. 1 bruger lagde mærke til at vi havde stavet deres domain navn forkert. Vi fik ca. 80% af deres passwords og kunne deres logge ind ...

Der kom et opråb fra chefen om at tage sig sammen ...

Så ja, jeg mener helt seriøst folk er for dumme til at bruge en PC og er faktisk overrasket over det kun er 80% der ikke ved bedre.

Men det er jo heldigvis nemt at lave om på ... i stedet for det andet ... som aldrig kommer til at ske ...

ScorpD (12) skrev:

Nej, for der er ingen sider der manuelt bliver godkendt af mig.

Hvis en side er untrusted så køre jeg den i en isoleret "untrusted" VM, på samme måde som hvis jeg henter filer hvor jeg har svært ved at bekræfte ophavet eller arbejder med malware samples. VM'erne bliver minimum wiped én gang om dagen, og der er aldrig cross-contamination (classification-grouping) :)

Og ja, jeg ved godt at VM og malware er fyfy, men jeg syndes nu at det er lettere/mere praktisk at omgå VM-detection end alternativerne.

Det er mit liv for kort til ... hvad skulle de stjæle af mig de næsten ikke allerede kan finde om mig på nettet ...

Det er jo et certifikat alle kan købe. Det fortæller intet om køberens troværdighed og det har aldrig været meningen med det certifikat i modsætning til fx. det danske E-mærket.

Handel er altid et spørgsmål om tillid. Bruger man dankort er man altid sikret så langt, at man altid kan gøre indsigelse hos banken og få sine penge igen. Lav aldrig kontooverførsler til kontonumre du ikke kender som familie og overvåg ugentligt dine kontobevægelser og lav kortspærring og indsigelse, hvis noget ikke er, som det skal være. Så kan det sgu ikke gå helt galt.

Vanvittig (15) skrev:

Det er jo et certifikat alle kan købe. Det fortæller intet om køberens troværdighed og det har aldrig været meningen med det certifikat

Nej, lige præcis. Problemet er blot at virkeligheden er anderledes end det tiltænkte, og fordi meningen var en anden, er der ingen der ser nogen grund til at gøre noget ved det.


Stort set alle internet-brugere forbinder certifikater med sikkerhed i forbindelse med handel eller virksomhedskorrespondance, og det er ikke fordi de er dumme, men fordi de er blevet lært op til at tro det igennem en lang årrække. Og selvom IT-kyndige syndes at det er det mest basale, så bliver man nødt til at forstå at de fleste brugere interessere sig ligeså meget i korrekte URL’er som i at Christoph Scheibler indførte et skel imellem den specielle og almene metafysik, eller at toiletpapir skal hænge med lappen udenpå jf. Wheeler’s mening. Derudover så er det ofte ikke muligt at se noget ud af en URL (hvorfor er det NemId.nu? og skal NemId.her så også ses som gyldig?).
Så brugerne griber naturligvis fat i det de har lært er sikkert og let at tjekke, hængelåsen.

Hvis dette ikke var tilfældet ville svindlere have væsentlig mindre incitament til at gøre brug af certifikater, da de nok er rimelig ligeglade med at sikre trafikken.


Samtidig er det indiskutabelt at stigningen i brug af SSL ved phishing har en direkte korrelation til at prisen er faldet og procedurerne er simplificeret/automatiseret. De vil selvfølgelig ikke skyde flere ressourcer i et projekt end de forventer at få ud igen.
Dermed er det også givet at en stigning i prisen, en øget kompleksitet af procedurerne, eller strengere validering af entiteterne alt andet lige vil medføre et fald i brugen af certifikater til phishing, men desværre også et generelt fald i brugen certifikater.

Hvis man ikke mener at dette er vejen at gå må man jo frembringe alternative løsningsforslag.

Oplæring af brugeren ser jeg personligt ikke som en mulighed med det nuværende setup, eftersom brugeren mangler en simpel måde at vide sig sikker på. OV/EV er ikke en mulighed da IT-kyndige, der forstår meningen med certifikater, ikke ser en fordel i at benytte dem frem for gratis certifikater, og da slet ikke efter at man er begyndt at fjerne fremhævningen i browseren.
Password managers ser ud til at være effektive til at stoppe brugere fra at logge ind på domæner der gør brug af typosquatting, men med de problemer der har været med LastPass, 1Password, Keeper, Dashlane etc. så er der en del tilbageholdenhed, og en del managers som fx Google Passwords er ”forbudte” på visse arbejdspladser. FIDO2 o.l. kunne måske træde til i stedet for, men vil ikke dække alle scenarioer.

De fleste cases jeg havde i starten med phishing var meget amatøragtige, men nogle af de sidste cases jeg har haft har været virkelig imponerende udført hvor ingen af de råd der normalt gives ville afsløre det (fx mangler fuldt navn, stavefejl, manglende æ ø og å, mærkelig url, afvigelser i UI, truende adfærd, manglende anmeldelser/information på nettet o.l.).

Sikring på selve domæne-niveauet er ligeså upopulært, da det heller ikke er meningen at det skal varetages på dette niveau (”Complaints about phishing are outside the scope and authority”). Men det er valideringen af registrantens oplysninger derimod, som dog, set fra mit synspunkt, virker lidt vag og mangler en rød tråd.
Jeg kan stadig huske da WDRP blev indført, hvilket var rimelig harmløst, lige indtil man fandt ud af at man kunne bruge det til phishing ved at lave lignende e-mails med dataudtræk fra Whois.
Da vi endelige havde fået alle klienterne til at forstå at sådanne e-mails fra ukendte afsendere skulle ignoreres så valgte ICANN at opdatere deres Whois verification process, for nogle topdomæner (forvirre klienterne endnu mere), på en måde hvor man skulle tro at de havde hentet inspiration fra de WDRP relaterede phishing forsøg (afsendelse fra ukendt afsender, med krav om at gå til en ukendt URL for at bekræfte).
Problemet var ikke så meget at det skete når man registrerede et nyt domæne, overførte et domæne, eller opdaterede registrantens oplysninger, da man vidste at den aktive handling ville blive opfulgt af verifikations e-mails. Problemet var derimod at det også skete på vilkårlige tidspunkter, hvis registrator troede at der var noget i vejen med ens oplysninger, hvilket blandt andet er tilfældet ved dårlige forsøg på Domain-hijacking eller ”hævntogter” igennem Whois inaccuracy complaints.


Men det kan da også være at man helt skal lade værre med at gøre noget, håbe at brugerne lære det og så få vores forsikringer/banker til at rydde resten op. Jeg er bare personligt ikke videre interesseret i at fortsætte med at sponsorere udenlandske regimer på den måde.

#16

Dermed er det også givet at en stigning i prisen, en øget kompleksitet af procedurerne, eller strengere validering af entiteterne alt andet lige vil medføre et fald i brugen af certifikater til phishing, men desværre også et generelt fald i brugen certifikater.

Ikke nødvendigvis. Dem der udvikler phishing sider gør det med det formål at få folk til at falde i fælden. Og eneste grund til hovedparten af disse sider ikke havde et certifikat tidligere var at det ikke var nødvendigt for at snyde brugerne.

I dag er virkeligheden en anden og browsere markerer nu tydeligt hvis du forsøger at indtaste oplysninger på en HTTP side hvor det vil fremgå at siden er "usikker". Så selv hvis du går tilbage til de "gode gamle dage" hvor certifikater var dyre så vil du nok alligevel se at hovedparten af disse phishing sider vil anskaffe sig et certifikat.

Og, som jeg tidligere har nævnt, så er det pokkers svært at konstant holde øje med et domæne om det bruges til phishing. Det er alt for nemt at have en troværdighed side når man opretter certifikatet og så senere ændre sidens indhold (eller måske endda bare fortsætte med at holde forsiden "pæn" imens det er en underside der bruges til phishing).

Du kan argumentere at man så kan udnytte muligheden for at trække certifikater tilbage men vi har så allerede mulighed for at informere browsere om en given side er skadelig.

Jeg kan ikke se hvorfor vi skal rose og hjælpe dumme mennesker ved at lave verden om ... "Let's Encrypt" ... YES SIR.

Hvis man har lært noget forkert, så må vi fortælle dem det er forkert ... længere synes jeg ikke den er.

Man kunne også sætte certifikat prisen op til 2% af omsætningen ... det lyder lidt til at nogen næsten forslår det ... :-P

Men ... certifikat er for at ingen lytter med ... hvad med at man fiksede så de til at starte med slet ikke kunne købe de domains ... altså en helt lavpraktisk ting.

Denne historie gør det, det mere skandaløst, at folk som Billy (regnskabsprogrammet) bruger f*****g Let's Encrypt til noget, som indeholder enorme mængder persondata, forretningsoplysninger m.m.

#19
Hvorfor? Let's Encrypt er på ingen måde mindre sikkert end alternativerne og man kunne endda argumentere at det er mere sikkert eftersom det tvinger serverejerne at automatisere fornyelse af certifikatet (eftersom det udløber efter 90 dage). Projektet bliver auditeret på lige fod som andre certifikatudbydere og kildekoden bag hele projektet er Open Source.

Kan du uddybe hvorfor du har sådan en skarp holdning imod Let's Encrypt? Umiddelbart ser det ud til at folk har en komplet misforstået holdning omkring certifikater. Igen, et certifikat skal UDELUKKET bruges til at garantere at den server du snakker med faktisk er den som domænet peger på således der kan oprettes en krypteret forbindelse og du kan undgå at et mellemled lytter med (eller ændre indholdet).

tsuroerusu (19) skrev:

Denne historie gør det, det mere skandaløst, at folk som Billy (regnskabsprogrammet) bruger f*****g Let's Encrypt til noget, som indeholder enorme mængder persondata, forretningsoplysninger m.m.

Du har vist ikke forstået hvordan SSL fungerer. Der er intet skandaløst over at bruge Let's Encrypt. Det er, som #19 nævner, lige så sikkert som alternativerne.

#16

Problemet er at folk for 10 år siden har fået af vide af "IT-eksperter" i Go' Morgen Danmark og Ude og Hjemme, at de blot skal huske at kigge efter hængelåsen, når de handler på nettet.

Dårlig og forkert oplysning og uvidenhed. Så enkelt er problemet.

ScorpD (5) skrev:

syska (4) skrev:

ScorpD (2) skrev:

Bør løses ret let ved at indføre at ejeren af certifikatet hæfter juridisk.
Hvis ejeren ikke er en gyldig entitet så køre kravet opad indtil det når rod CA'en.

Alle krav mod en rod CA skal offentliggøres, så alle (MS etc.) kan tage stilling til om man vil have tiltro til den pågældende CA.

Så bør den praksis forsvinde ret hurtigt.

Det vil kun straffe de små sider hvor arbejdet er større end gevinsten ...

Hvis det blev indført, så ville "Let's Encrypt" dø ... jeg er stor fan af det, specielt da det er nemt og billigt. Ja, folk udnytter det, men det er kun et problem for dumme folk :-)

Sjovt du nævner Let's Encrypt. Det første jeg gør når jeg sætter en ny computer op er at untruste DST Root CA X3.

https://www.theinquirer.net/inquirer/news/3007326/...

Let's Encrypt burde virkelig dø.


Og det er ret useriøst at skrive at det kun er et problem for dumme folk...Især når der lige ovenover står at 80 procent af de adspurgte troede at hændelås = sikker.

Ifølge en undersøgelse ER ca 80% af jordensbefolkning dumme. (dontmakemefindthesource).

Problemet, som JEG ser det, er at det er ALT for let at oprette et certifikat. Det kan vitterligt gøres på få minutter helt gratis hvis du hoster din egen webserver. Jeg fulgte en tutorial der viste det for et par måneder siden. Det var skræmmende let.

Tutorial til kryptering af FTP server på Linux: https://www.tecmint.com/secure-ftp-server-using-ss...

Du generer en "hashkode" og indtaster nogle oplysninger.. og VUPTI.. så har du et gyldigt certifikat. Det er fanme som at trykke sit eget kørekort....

Dermed viser HTTPS absolut INGENTING, andet end at trafikken er krypteret mellem dig og serveren. Den nok så fine krypterede trafik kan sagtens gå lige hen til en svindler som også sagtens kan være ejeren af serveren, og derved kan se alt hvad du indtaster...

PowerDuDe (24) skrev:

Dermed viser HTTPS absolut INGENTING, andet end at trafikken er krypteret mellem dig og serveren. Den nok så fine krypterede trafik kan sagtens gå lige hen til en svindler som også sagtens kan være ejeren af serveren, og derved kan se alt hvad du indtaster...

Det skal heller ikke andet ... så sagt på en anden måde ... det virker efter hensigten.