Https garandeert bij grote bedrijven geen veilige verbinding

30 oktober 2015 11:38 Jelle Wijkstra NIEUWS

©Sean McEntee/Flickr.com, CC BY 2.0

Kunnen we onze https-verbindingen met de grootste bedrijven ter wereld vertrouwen? Het antwoord van High-Tech Bridge: vaak niet. De sites van DigiD en ABN Amro blijken bij een test van High-Tech Bridge een jaar na dato zelfs nog kwetsbaar voor POODLE.
High-Tech Bridge analyseerde het niveau van beveiliging van de https-verbinding van 161 bedrijven uit de lijst van 2000 grootste bedrijven ter wereld van Forbes.Bij de implementatie van SSL/TLS om een beveiligde verbinding op te  zetten snijden die bedrijven nogal wat hoekjes af. Dat ondergraaft de effectiviteit ervan.
Het goede nieuws: 77 procent van de onderzochte servers ondersteunt https. Hoewel: 23 procent ondersteunt het opzetten van en beveiligde verbinding niet. Andere bevindingen zijn net zo verontrustend. Zo blijkt

• bijna 20 procent van de https-servers te werken met een certificaat dat niet vertrouwd wordt,
• in slechts een derde van de gevallen Always-On SSL te zijningesteld - zodat bij twee derde er geen garantie is dat alle communicatie over https loopt,
• niet meer dan een kwart een Extended Validation-certificaat te hanteren,
• 18,5 procent nog kwetsbaar te zijn voor POODLE, een fout in de beveilgingsopzet die ruim een jaar geleden aan het licht kwam,
• 12 procent de PCI DDS-voorschriften 2.3 en 4.1 van banken en credtcardmatschappijen na te volgen
• slechts 2,4 procent de aanbevelingen van het National Institute of Standards and Technology op te volgen.

Per saldo krijgt net iets meer dan de helft een goede beoordeling (en A) van High-Tech Bridge Security Research. Op dat blog biedt het bedrijf ook een link naar een tooltje waarmee men het veiligheidsniveau van verbindingen met via SSL/TLS beveiligde websites kan vaststellen.

DigiD en ABN Amro kwetsbaar voor POODLE

Een kleine test via dit tool van Nederlandse sites levert opmerkelijke resultaten op. Digid.nl bijvoorbeeld is volgens het tool van High-Tech Bridge kwetsbaar voor POODLE en kent ook andere zwakheden. De site waar Nederlanders hun digitale identitificatie richting overheid regelen, krijgt daarom als cijfer slechts een B. Een woordvoerder van Logius, dat zorgdraagt voor DigiD, kan zich in een eerste reactie moeilijk voorstellen dat dit echt het geval is; Logius zoekt het op dit moment verder uit.
Abnamro.nl is volgens High-Tech Bridge eveneens nog kwetsbaar voor POODLE en hanteert ook een niet-vertrouwd certificaat. Het krijgt daarom een B+, de ING-site en Triodos krijgen een A, maar zondigt op onderdelen tegen de PCI DDS-voorschriften, Rabobank, ASN en SNS krijgt een A+ - ze voldoen alleen niet aan alle NIST-aanbevelingen.