Je verbinding is niet privé – Google Chrome en SSL

google-ssl-chromeIn augustus 2014 bracht Google naar buiten dat ze websites die gebruik maken van een beveiligde https-verbinding gingen belonen met een hogere score in zijn zoekresultaten. Dat was de eerste stap op weg naar een veiliger internet.

Ondertussen hebben heel veel websites een SSL certificaat. Het verschil tussen gewoon http of het veilige https is meer dan alleen een “s-je”. Je klanten ervaren jouw site ook als veilig. Heb je een shop dan zal je simpelweg meer verkopen als je webwinkel veilig is.

Wat is het verschil?

Je herkent een beveiligde website aan het extra ‘s-je’ in de URL, dus https.

  • – http://www.websiteurl.nl is een gewone site
  • – https://www.websiteurl.nl is een beveiligde site

De plannen van Google

Google heeft niet stil gezeten en gaat nu weer een stapje verder:

In de browser Chrome van Google zelf komt bij een website die geen gebruik maakt van SSL een steeds engere waarschuwing in beeld: “Je verbinding is niet privé”. Dit is weer een stapje verder naar het uiteindelijke doel: een website zonder SSL zal uiteindelijk helemaal niet meer in beeld komen.

 

google-ssl

 

 

Veilig voor Google

Kies uit 1 van de onderstaande 3 oplossingen en zorg dat je website voldoet aan de nieuwste eisen van Google.


 

1) 24,95 per jaar Rapid SSL (Budget oplossing)

Eenvoudig SSL Certificaat voor kleine websites


2) 99,= per jaar Secure Site SSL (Beste Keuze)

Secure Site SSL Certificaat voor websites + transacties zoals betalingen, verwerking van klantendata en shops.


3) 199,= per jaar EV SSL Certificaat (Groene Balk & Super Veilig)

ev-bar

Vertrouwen is belangrijk, neem het meest uitgebreide certificaat met de groene balk. Speciaal voor websites met transacties zoals klanten-systemen, reserveringen, bestellen & betalen en shops.


Wat zit er standaard bij?

– Eigen vast IP nummer
– Gratis Installatie
– Software update naar de nieuwste versie van PHP/MySql

Mocht je nog vragen hebben, neem dan gerust even contact met ons op:

support@webteam.nl of 020 – 2611 858

 

Malware met overheidscertificaat ontdekt

Onderzoekers bij beveiligingsbedrijf F-Secure hebben een stuk malware gevonden dat een digitaal certificaat heeft gekregen van een overheid.

Zo’n digitaal certificaat, in dit geval een code-signing certificate, dient als een soort geloofsbrief voor de software. Als het certificaat in orde is, zal de computer de software vertrouwen en gewoon uitvoeren.

Gestolen in Maleisië
Het is zeldzaam dat schadelijke virusachtige software zo’n certificaat meekrijgt. En het is zelfs nog zeldzamer dat het certificaat van een overheidsinstantie komt, maar F-Secure heeft er toch eentje ontdekt. De ondertekenende instantie is mardi.gov.my, het onderzoeks- en ontwikkelingsinstituut voor landbouw van Maleisië.

Het certificaat is volgens het Maleisische landbouwagentschap al een tijdje geleden gestolen. Het is ook al sinds september vervallen, zodat het niet meer voor authenticatie gebruikt kan worden.

Lek in Adobe Reader
De gevonden malware verspreidde zich via pdf-bestanden die een lek in Adobe Reader 8 misbruikten. De malware downloadt bijkomende schadelijke componenten van een server met worldnewsmagazines.org als naam. Sommige van die onderdelen waren ook gecertificeerd, maar dan wel door een entiteit die www.esupplychain.com.tw heet.

Vervalste of gestolen certificaten zijn een nieuwe plaag in de beveiligingswereld. Met zo’n certificaat kun je immers schadelijke software beter verborgen houden en verspreiden. Hackers richten hun pijlen dan ook steeds vaker op de uitgevers van certificaten. Denk maar eens terug aan het recente Diginotar-schandaal in Nederland.

Microsoft en Mozilla doen de Maleisische certificaatautoriteit #DigiCert in de ban

Microsoft en Mozilla doen de Maleisische certificaatautoriteit (CA) DigiCert in de ban, nadat bekend werd dat er 22 slechtbeveiligde certificaten zijn uitgegeven.

De Maleisische CA DigiCert Sdn. Bhd. heeft onlangs 22 zwakke certificaten uitgegeven, waardoor het bedrijf nu in de ban wordt gedaan door Microsoft en Mozilla.

Tegen de regels

De melding komt van Entrust, die als rootautoriteit voor het Maleisische bedrijf optreed. De verdachte certificaten hadden een zwakke encryptiesleutel van 512 bits, zonder de gebruikelijke extensies of informatie over het intrekken van de certificaten.

DigiCert heeft inmiddels de 22 certificaten ingetrokken en ook Entrust heeft zijn intermediaire certificaat voor DigiCert ingetrokken.

Voor Mozilla en Microsoft is alleen het intrekken van de brakke certificaten niet afdoende: beide softwareconcerns zullen álle certificaten van DigiCert in de ban doen.
Hele CA in de ban

Alhoewel er nog geen bewijs is dat de ondeugdelijke certificaten zijn misbruikt, waarschuwt Mozilla ervoor dat ze eenvoudig kunnen worden gebruikt voor criminele doeleinden, door het vervalsen van een legitieme site.

Doordat de het Maleisische bedrijf met de uitgifte van deze slechte certificaten duidelijk de regels en best practices van een CA heeft overtreden, zal ook Microsoft alle certificaten weren, schrijft Jerry Bryant van het Security Response Center van Microsoft.

Het Maleisische bedrijf heeft overigens geen relatie met DigiCert Inc, de bekendere en grotere Amerikaanse CA.

Verwarring

Het gaat dus om www.digicert.com.my uit Maleisie en niet www.digicert.com
Het bedrijf DigiCert.com is inderhaast al een Google Ads campagne gestart.

DigiNotar debacle

De ferme reactie van browsermakers is mede ingegeven door het DigiNotar debacle. Toen bleven veel DigiNotar certificaten vertrouwd op basis van informatie die het bedrijf zelf had doorgegeven aan de Nederlandse overheid.

Er zouden slechts enkele DigiNotar certificaten zijn gecompromitteerd, de rest was veilig, bezweerde het Beverwijkse bedrijf in eerste instantie.

Maar uit onderzoek van Fox-IT bleek dat de volledige infrastructuur was gehackt en geen enkel certificaat meer was te vertrouwen. Drie weken later werd DigiNotar failliet verklaard.

Meer over SSL:  www.antimalwarescan.nl/ssl

#KPN stopt uitgifte veiligheidscertificaten #ssl

DEN HAAG (AFN) – Telecomaanbieder KPN heeft de aanvraag en uitgifte van nieuwe veiligheidscertificaten voor websites voorlopig stopgezet. Het bedrijf houdt er rekening mee dat er is geknoeid met een server van de website waar bedrijven informatie kunnen vinden over de certificaten. Dat maakte KPN vrijdag bekend.

Sporen op de server wijzen er volgens het bedrijf op dat derden de server mogelijk hebben geprepareerd voor een cyberaanval. Daardoor kunnen servers van andere websites onbereikbaar worden gemaakt of zelfs crashen. Dat zou echter al 4 jaar geleden zijn gebeurd.

Bestaande certificaten die al zijn uitgegeven, blijven geldig. KPN benadrukt dat de voorlopige stopzetting van de uitgifte van nieuwe certificaten een voorzorgsmaatregel is. ,,We hebben geen aanwijzing dat er werkelijk iets mis is, maar kunnen dat ook niet uitsluiten”, stelde een woordvoerder. KPN heeft de betreffende webserver vervangen.

Aanvullend onderzoek

In samenwerking met het ministerie van Binnenlandse Zaken, een belangrijke afnemer van veiligheidscertificaten, vindt nu een aanvullend onderzoek plaats ,,om er zeker van te zijn dat KPN voldoet aan de vereiste waarborgen, procedures en voorschriften die gelden voor uitgifte van internetveiligheidscertificaten”. De uitkomsten hiervan worden begin volgende week verwacht.

Binnenlandse Zaken zegt in een toelichting vertrouwen te hebben in het optreden van KPN. Het bedrijf handelt adequaat en stelt de veiligheid voorop. Het ministerie zegt het onderzoek dat KPN heeft ingesteld intensief te volgen.

Het ministerie werd eerder getroffen door de affaire rond DigiNotar. Dat bedrijf gaf certificaten uit die de veiligheid van websites niet konden garanderen. Volgens Binnenlandse Zaken is dat hier niet aan de orde.

http://www.antimalwarescan.nl/ssl