Wat is een CA-certificaat en hoe werkt het?

Een illustratie van een CA-certificaat.


Onlangs heeft de regering van Kazachstan burgers tijdelijk gedwongen een certificeringsinstantie (CA) te installeren waarmee de staat alle inhoud en communicatie kan decoderen in een man-in-the-middle-aanval.

Met het certificaat kon de overheid zelfs gegevens wijzigen en gebruikers misleiden om virussen en spyware te gebruiken en te downloaden. Het initiatief van de regering van Kazachstan heeft misschien voorlopig gefaald, maar de dreiging is reëel.

Certificaatautoriteiten uitgelegd

Een certificaatautoriteit verifieert dat een website is wat hij zegt te zijn bij het coderen van gegevens tussen zijn servers en u. De CA ondertekent het coderingscertificaat van de website, dat elke keer dat een website wordt geopend, aan de gebruiker wordt gepresenteerd.

Het ExpressVPN-certificaat, ondertekend door een certificeringsinstantie (Amazon).

Verkopers van browsers en besturingssystemen kunnen mogelijk niet het eigendom van alle websites afzonderlijk valideren, dus ze delegeren dat aan een aantal vertrouwde CA’s. Alle CA’s moeten beschikken over processen en controles om ervoor te zorgen dat certificaten alleen worden uitgegeven aan de rechtmatige eigenaar van een domein.

Wanneer u bijvoorbeeld de website van uw bank bezoekt, wilt u er zeker van zijn dat u de website van uw bank echt gebruikt en geen bedrieger. Uw browser zal dus controleren of het certificaat dat door de website wordt gepresenteerd, is uitgegeven door een vertrouwde CA, waardoor een ‘vertrouwensketen’ wordt gevormd die het bewijs levert dat u echt de juiste site gebruikt.

In het verleden zijn er verschillende gevallen geweest waarin browser- en OS-leveranciers CA’s de rechten hebben ontnomen omdat ze incompetent of kwaadaardig bleken te zijn in de manier waarop ze certificaten uitgeven. Als de certificeringsinstantie aanvragen voor anderen ondertekent, zoals nationale staten of hackers, werkt het systeem niet.

Uw computer wordt geleverd met een set vooraf geïnstalleerde certificaatautoriteiten, terwijl Firefox zijn eigen lijst gebruikt, doorgelicht door zijn eigen experts. Kazachstan heeft geprobeerd zijn kwaadaardige certificaatautoriteit in Firefox op te nemen, maar Mozilla weigerde beleefd. De CA is niet opgenomen in een andere grote browser, maar het is mogelijk om elke CA handmatig toe te voegen. Browserontwikkelaars zijn zich bewust van deze maas in de wet, en sommige stellen voor om kwaadwillende CA’s permanent te blokkeren en het voor gebruikers onmogelijk te maken ze te installeren of beperkingen te omzeilen.

Een nepcertificeringsinstantie

Door een eigen certificaatautoriteit te creëren en zichzelf de mogelijkheid te geven elke site na te bootsen die ze wil, probeert de regering van Kazachstan deze belangrijke vertrouwensketen te omzeilen.

Zolang het de gegevensstroom beheert, kan het elke server als “legitiem” presenteren en gebruiken om uw inloggegevens te phishing. Het geldige certificaat van twitter.com bewijst bijvoorbeeld dat u echt bent verbonden met Twitter en dat het veilig is om uw gebruikersnaam en wachtwoord in te voeren. Als uw computer echter een nep-CA vertrouwt, kan iemand anders uw verbinding doorverwijzen naar zijn eigen server terwijl deze zich voordoet als Twitter.

Wat is een HTTPS-certificaat??

Hypertext Transfer Protocol Secure (HTTPS) is een protocol dat wordt gebruikt om websites te coderen. Wanneer u naar een website navigeert die HTTPS ondersteunt (inmiddels de meerderheid van alle sites), wordt een gecodeerd kanaal ingesteld tussen uw apparaat en de server van de website, zodat niemand ertussen uw wachtwoorden of gevoelige informatie kan lezen. Deze beveiligingsmaatregel wordt vaak aangegeven met een slot in de adresbalk van de browser.

Om te controleren of uw computer is verbonden met een echte bankwebsite en niet met een kloon, wordt het HTTPS-certificaat ondertekend door een CA. Wanneer u naar de site navigeert, presenteert de server een elektronische handtekening waaruit blijkt dat de autoriteit heeft geverifieerd dat deze behoort tot de website die u probeert te bezoeken..

Aangezien HTTPS zeer betrouwbaar is als het niet wordt ondermijnd, vertrouwt een grote meerderheid van websites en applicaties uitsluitend op de beveiliging van HTTPS om gegevens veilig te houden tijdens het transport.

Versleuteling werkt

Versleuteling zo eenvoudig als HTTPS kan een diepgaand effect hebben op online beveiliging en privacy, wat de reden is dat autoritaire regimes de neiging hebben om het aan te vallen.

Vooral in staten met onbetrouwbare rechtsstelsels en een gebrek aan verantwoordelijkheid voor macht, kunnen we overheden niet vertrouwen met toegang tot onze privégegevens. Zoals talloze voorbeelden hebben aangetoond, zal privéinformatie (zoals creditcardinformatie en privéberichten) in handen van regionale afdelingen, vervolgens individuele officieren en uiteindelijk in georganiseerde misdaad druppelen, waar het de stabiliteit van de samenleving bedreigt.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map