Full stack developer Jacco vertelt de ins- en outs over SSL.
Introductie
Op LinkedIn zag ik laatst de volgende vraag voorbij komen:
“Stel je bezoekt een website van een financiële instelling. Je krijgt hier de melding dat cybercriminelen mogelijk je gegevens proberen te stelen, zoals je wachtwoorden, berichten of creditcardgegevens. Wat doe je dan? En is dit een melding die je serieus moet nemen?”
Een mooie discussie over SSL, invalid certificate error en hoe hiermee om te gaan volgde. Maar ook bleek dat er veel onduidelijkheid is. Daarom leg ik het een en ander hieronder uit.
Het doel van SSL
Het doel van SSL is data veilig maken door gebruik te maken van een HTTPS verbinding doormiddel van een certificaat.
Het certificaat dient als contract. In dit contract spreken de browser en de server af welk dialect ze spreken, waarbij SSL de taal is.
Hierbij moet een officiële overeenkomst (of, zoals vanaf heden genoemd, certificaat) worden opgesteld en digitaal ondertekend. Deze overeenkomst is, normaliter, 1 jaar geldig en moet dan worden vernieuwd.
SSL certificaten worden voor een specifiek (en letterlijk) webadres afgegeven. In deze context is https://3fiftynine.nl/ en https://www.3fiftynine.nl/ dus niet hetzelfde.
Oorzaken van de melding
SSL certificaten moeten aan een hoop eisen voldoen. Wanneer dit niet het geval is, verschijnt de melding “invalid_certificate”. Dit kan verschillende oorzaken hebben.
Url komt niet overeen
Zoals al eerder genoemd, worden certificaten uitgegeven voor een specifieke webpagina. Dit betekent echter niet dat het certificaat alleen toegevoegd kan worden aan de betreffende site. In principe is het mogelijk om elk certificaat op elke website te zetten (al zal het dan geen effect hebben).
Op het moment dat het adres in de adresbalk niet overeenkomt met het adres waarvoor het certificaat is uitgegeven, geeft browser daar de “invalid_certificate” error voor.
Getekend door een onbekend bron of zelf getekend
SSL certificaten moeten door een officiële instantie worden ondertekend. Wanneer dit niet gebeurd, verschijnt de melding “invalid_certificate”.
Verlopen
Certificaten zijn slechts een beperkte tijd geldig. Het is mogelijk om certificaten te vernieuwen (vergelijk het met het verlengen van een arbeidscontract, alleen worden certificaten altijd voor een bepaalde tijd verlengd, nooit onbepaald).
Op het moment dat een certificaat niet op tijd wordt verlengd, krijg je opnieuw de melding “invalid_certificate”.
Gevolgen
Het gevolg van de melding is dat de browser en server niet van elkaar weten welke taal ze spreken. Als gevolg hiervan stappen ze over op de basis taal die ze allebei spreken (en alle computers spreken). Het gevaar hierin zit hem dat wanneer jouw gegevens onderschept worden, iedereen ze ook kan lezen.
Waar moet je op letten?
Een invalid_certificate error hoeft niet direct te betekenen dat je de site niet kan gebruiken. Wat je echter wel moet doen op deze sites, is goed nadenken over welke informatie je verstuurd via de website (bijvoorbeeld in de vorm van een formulier).
Zoals al eerder vernoemd kan iedereen die de data eventueel onderschept deze lezen. Het is dus nooit een goed idee om wachtwoorden en andere persoonlijke zaken op dergelijke sites te versturen.
Mocht het nodig zijn om informatie via de betreffende site te versturen, vraag je dan altijd het volgende af:
Zou ik het erg vinden als deze informatie wordt gelezen door personen/instanties anders dan de personen/instanties waar het voor bestemd is?
Zo ja, dan is het antwoord simpel: verstuur de informatie niet.
Wat kun je doen?
Het enige wat je kunt doen in deze situatie (los van de betreffende site niet meer gebruiken), is contact opnemen met de eigenaar van de website. Controleer of er een contact pagina is. Vaak staan hier de gegevens van de eigenaar van een website, met daarbij een e-mail adres of telefoonnummer.
Verstuur vanuit je eigen mail een mailtje naar het betreffende adres, waarin je aangeeft dat je de site hebt bezocht en je de melding kreeg.
Mochten contact gegevens ontbreken, vul dan het contact formulier in. Mocht je je niet op gemak voelen bij het versturen van de informatie die op het formulier wordt gevraagd, doe het dan niet.
Conclusie
Terugkomend op de originele vraag. Ja, het is een melding die je serieus moet nemen. Maar je hoeft er dus niet direct van in paniek te raken. Wees je bewust van het risico op deze site en verstuur niet onnodig je gegevens.
Achtergrond van Jacco
Jacco is Full Stack Developer bij 3Fiftynine en werkt al 15 jaar in verschillende high traffic omgevingen, waaronder een aantal beveiligde websites die gebruik maken van SSL.