Encryptie maakt het internet niet veiliger

Het ‘Snowden effect’ is één van redenen dat het gebruik van HTTPS het afgelopen jaar is verdubbeld. Steeds meer organisaties gebruiken inmiddels HTTPS. Na Google, Facebook en Twitter volgen ook Wikipedia en Reddit met nieuw ontwikkelde macOS-applicaties en sinds kort wordt dat gedaan door ’s werelds grootste krant de Washington Post.

Niet alleen organisaties in de commerciële sector stappen massaal over op HTTPS, ook de overheid gaat, wel of niet gedwongen, steeds vaker over op het gebruik van HTTPS. In een recent uitgegeven memorandum van de Amerikaanse overheid wordt vereist dat ze voor 2016 HTTPS moeten gaan implementeren voor hun websites en web services.

Toename gebruik HTTPS

HTTPS maakt gebruik van SSL/TLS-encryptie om de communicatie tussen websites en gebruikers te beveiligen. Dit biedt bescherming tegen afluisteren en ‘man-in-the-middle’ attacks, maar HTTPS kent helaas ook enkele beperkingen. Zo worden IP-adressen en domeinnamen van bestemmingen niet versleuteld tijdens de communicatie. HTTPS garandeert alleen de integriteit tussen twee systemen, maar niet de systemen zelf. Ook biedt het geen bescherming tegen een webserver die gehackt is of gecompromitteerd, noch kan de web service voorkomen dat gebruikers informatie wordt gehackt.

Certificate pinning

Om het versleutelde SSL-verkeer te kunnen ontcijferen en de inhoud van de data te kunnen lezen, moeten firewalls daarvoor geschikt zijn. De meeste grote organisaties hebben inmiddels Next Generation Firewalls in gebruik genomen, maar die zijn functioneel soms te beperkt, gezien de vereiste rekenkracht om SSL-decryptie toe te passen. Standaard maakt een SSL-verbinding gebruik van het beveiligingscertificaat van een server. SSL controleert echter niet of het certificaat in kwestie ook daadwerkelijk door de server wordt gebruikt. Dit vertrouwen tussen de computer en de remote server kan een beveiligingsriscico met zich meebrengen. Certificate pinning biedt een oplossing voor dit probleem. Met deze techniek wordt de SSL-verbinding eerst ontsleuteld en voorzien van een eigen certificaat, en
vervolgens weer versleuteld. Banken maken gebruik van SSL pinning voor een controleslag in de beveiliging naar de computer. Het dataverkeer van en naar banken kan dan ook niet geïnspecteerd worden door firewalls met SSL-decryptie, omdat ze van deze SSL pinning-techniek gebruik maken en zodoende de encryptie breken.

Let’s encrypt

Vertrouwt men op een uitgegeven certificaat van derden of is het mogelijk om zelf certificaten uit te geven? Een nieuwe ontwikkeling die hier op aansluit is het Let’s Encrypt-initiatief van de Linux Foundation, dat in september dit jaar gelanceerd zal worden. Dit maakt het voor elke gebruiker mogelijk om een http-server in te stellen die automatisch een browser-trusted certificaat genereert. Om dit mogelijk te maken draait er een certificate management agent op de webserver. Let’s Encrypt is een gratis, geautomatiseerde en open certificaat-autoriteit.

Aanpassing IT-architectuur

Wat veel bedrijven zich moeten afvragen is of hun IT-infrastructuur wel goed is voorbereid op de toename van HTTPS-verkeer. Waarschijnlijk is dit niet het geval, want de meeste organisaties hebben in de afgelopen jaren gekozen voor bescherming van hun netwerkinfrastructuur met technologie die enkel in staat is om informatie in platte tekst, waaronder HTTP- en FTP-verkeer, te inspecteren. Het is daarom noodzakelijk dat men de komende tijd versneld de transitie maakt naar geavanceerde en krachtigere Next Generation Firewalls, die in staat zijn om een hoog aantal DPI-SSL- connecties te ondersteunen. Dit soort apparatuur is namelijk wel geschikt om het HTTPS-verkeer te ontsleutelen en de data te controleren op malware en andere risciofactoren.

Er is nog een lange weg te gaan om encryptie standaard onderdeel te maken van het internetverkeer. De vraag is echter of dit de veiligheid op het internet in het algemeen zal vergroten. Ik denk dat dit zeer waarschijnlijk het geval is. Ongetwijfeld zullen hackers manieren weten te vinden om deze verbeterde beveiliging te omzeilen. Recent toonden onderzoekers van de KU Leuven nog aan dat RC4- encryptie (gebruikt in onder andere SSL/TLS) steeds makkelijker en sneller te kraken valt.

Dit artikel verscheen voor het eerst op Computable - IT Security for Business - ‘Encryptie maakt het internet niet veiliger’