SSL-beveiliging Belgische overheidssites niet in orde

[ubremoved_539]

Het SSL-encryptieprotocol dat de Belgische overheid gebruikt om de communicatie met haar burgers te beveiligen, is vaak niet in orde. Dat ontdekte masterstudent Thomas Vanhoutte. "Te veel Belgen worden blootgesteld aan de Poodle-kwetsbaarheid, waardoor het risico vergoot dat cybercriminelen kunnen meelezen."

Bron: http://datanews.knack.be/ict/ssl-beveil ... 61737.html

[thomasv]

Vanavond misschien ook op de TV trouwens

[brubbel]

Ach, met de nieuwe cyber-defense zijn we zo veilig als een wortel op de plank van jeroen meus.
http://www.nieuwsblad.be/cnt/dmf20150303_01560559

[cloink]

Is dit eigenlijk geen nieuws van verscheide weken terug?

[meon]

Toen ging het om de banken, maar nu heeft iemand de Qualys ssl-labs-test eens laten lopen tegen overheidssites zeker?

[ubremoved_539]

Jeps... morgen een andere student die de tool tegen webshops gaat laten lopen, en overmorgen weer een andere student die hem tegen nog een andere categorie laat lopen.

Dat het publiek (eigen de website verantwoordelijken) moet geinformeerd worden is een feit... maar de uitspraak "dat ontdekte masterstudent" is een beetje absurd (zelfs m'n overgrootmoeder zou dit kunnen).

[qless]

Hm userbase netjes een A met maar 1 opmerking:
Signature algorithm SHA1withRSA WEAK

[meon]

Ja, bij het genereren van de CSR vorige keer vergeten om SHA-256 te gebruiken en pas achteraf gemerkt .

[qless]

Ach ik moet nog een site aanpassen die een F krijgt... oops

[remus]

Ja, bij het genereren van de CSR vorige keer vergeten om SHA-256 te gebruiken en pas achteraf gemerkt .

kan je normaal gezien zonder kost vervangen hoor

[thomasv]

Ja, bij het genereren van de CSR vorige keer vergeten om SHA-256 te gebruiken en pas achteraf gemerkt .

kan je normaal gezien zonder kost vervangen hoor

Op zich geen groot probleem.
Het certificaat verloop nog voor 2016, dus Google Chrome gaat in elk geval al niet zeuren hierover.
In september even SHA-256 of SHA2 gebruiken

[ITnetadmin]

SHA-256 is SHA-2, fyi

De verwarring bestaat omdat, in tegenstelling tot SHA-1, dat een hash algoritme is, SHA-2 een groepering van algoritmes is.
SHA-256 is daar een van, SHA-512 een ander.

Note: De volledige set (copypaste wikipedia) is SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256.

[ Post made via mobile device ]

[euromusic]

Een van de sites die ik zelf run (en niet achter CloudFlare staat) krijgt deze score:
https://i.jamy.be/Xd0lkzCbR.png

Ik begrijp niet hoe ze daar bij de overheid zo incompetent kunnen zijn, aangezien ik dit zonder enige voorkennis op 2 uur ingesteld heb...

EDIT: URL ipv veel te grote image
EDIT2: En ik begrijp dat ze zoveel mogelijk compatibiliteit willen, maar mijn setup is compatibel met nagenoeg alles, behalve IE6 ( ) dus geen excuus.

[Kenw00t]

behalve IE6 ( )

Dat is waarschijnlijk de reden waarom ze bij de overheid niet upgraden, anders kunnen ze niet meer op hun eigen website.

[Tomsworld]

Een van de sites die ik zelf run (en niet achter CloudFlare staat) krijgt deze score:
https://i.jamy.be/Xd0lkzCbR.png

Ik begrijp niet hoe ze daar bij de overheid zo incompetent kunnen zijn, aangezien ik dit zonder enige voorkennis op 2 uur ingesteld heb...

EDIT: URL ipv veel te grote image
EDIT2: En ik begrijp dat ze zoveel mogelijk compatibiliteit willen, maar mijn setup is compatibel met nagenoeg alles, behalve IE6 ( ) dus geen excuus.

Blijkbaar nog geen ervaringen in zeer grote enterprise omgevingen en hun specifiekheden, ik zou hier een lang betoog kunnen voeren maar de beste stuurlui staan aan wal.

Maar soit om het topic te draaien, waar beslist google om actief maar grade B te zijn ipv A+ ?

https://www.ssllabs.com/ssltest/analyze ... google.com

[johcla]

Als je bij de details van Google kijkt, zie je dat ze B hebben omdat ze nog SSLv3 ondersteunen voor IE6.
Ze hebben wel Poodle aangepakt, dus hebben ze toch de grootste compatibiliteit met de grootst mogelijke beveiliging. Een prima balans lijkt me.

Het verschil tussen A en A+ is HSTS (HTTP Strict Transport Security). Op mijn werk kiest men bewust voor A ipv A+ omdat HSTS performantieproblemen kan veroorzaken.
Voor mijn privé-domeinen heb ik A gekozen voor de websites en A+ voor mijn NAS.

En inderdaad: op gebied van netwerken en Apache enzo ben ik ook een groentje, maar met wat googlen had ik het ook op een avondje in orde.

[ubremoved_539]

Blijkbaar nog geen ervaringen in zeer grote enterprise omgevingen en hun specifiekheden, ik zou hier een lang betoog kunnen voeren maar de beste stuurlui staan aan wal.

Dat een bedrijf voor een interne toepassing zo dom is geweest om zich vast te binden aan één (verouderde) browser is echt dom... maar dat ze dit ook doen voor hun externe websites is gewoon niet aanvaardbaar ! Er bestaat niet iets zoals halve security (al liggen de normen voor het type bedrijf natuurlijk wel verschillend)... ofwel ben je veilig ofwel ben je het niet.

[euromusic]

Blijkbaar nog geen ervaringen in zeer grote enterprise omgevingen en hun specifiekheden

Nope, als student heb ik enkel nog maar voor kleinere IT bedrijven gewerkt Daar deden ze het wel goed!

[Tomsworld]

Blijkbaar nog geen ervaringen in zeer grote enterprise omgevingen en hun specifiekheden, ik zou hier een lang betoog kunnen voeren maar de beste stuurlui staan aan wal.

Dat een bedrijf voor een interne toepassing zo dom is geweest om zich vast te binden aan één (verouderde) browser is echt dom... maar dat ze dit ook doen voor hun externe websites is gewoon niet aanvaardbaar ! Er bestaat niet iets zoals halve security (al liggen de normen voor het type bedrijf natuurlijk wel verschillend)... ofwel ben je veilig ofwel ben je het niet.

Je kijkt in de verkeerde richting, browsers zijn heel flexibel en makkelijk aan te passen, zeker voor externe web applicaties. Als je bv kijkt naar deze lijst : https://www.ssllabs.com/ssltest/clients.html kan je interessante dingen uit leren, vooral uit de kolom TLS1.2