Fsck de overheid: "Het automatiseren van certificaatbeheer door de overheid op basis van ACME zorgt voor het efficiënter en betrouwbaarder verkrijgen, vernieuwen en intrekken van TLS-certificaten. Dit maakt de digitale overheid betrouwbaarder, wendbaarder en minder leveranciersafhankelijk", aldus de experts. "Daarnaast vermindert het gebruik van ACME de beheerlast voor het beheer van TLS-certificaten."
https://www.security.nl/posting/876900/ACME+voor+uitgifte+tls-certificaten+wordt+mogelijk+verplicht+voor+overheid.
In een tijd waarin burgers, online, met steeds hogere betrouwbaarheid moeten authenticeren (o.a. voor online leeftijdsverificatie en binnenkort met eID's zoals EDIW/EUDIW), en de anonieme nepwebsites als paddenstoelen uit de grond schieten (*), is dit een *KRANKZINNIG* plan.
(*) Daarbij geen strobreed in de weggelegd door BigTech - integendeel: medeplichtigheid aan cybercrime is hun verdienmodel geworden.
Het grote risico hier zijn AitM- (Attacker in the Middle) aanvallen: nietsvermoedende mensen worden via een bericht of een Google zoekresultaat naar een nepwebsite gestuurd, die hen vraagt om bijv. een scan van hun paspoort te uploaden en een selfie-filmpje te maken.
Beide stuurt de nepwebsite echter dóór naar een echte website, zoals van een bank, bijv. om een lening af te sluiten. De AitM neemt dat geld op, waarna het slachtoffer opdraait voor de schuld.
Een ESSENTIËLE voorwaarde voor betrouwbare authenticatie is dat je de VERIFIEERDER kunt vertrouwen.
Of dat zo is, weet je nooit zeker (ook offline niet). Het beste alternatief is dat je weet *WIE* de verifieerder is, en hoe betrouwbaar diens identiteit is vaatgesteld. Dat is, zonder meer, vervelend en prijzig voor eigenaren van websites waar klanten, burgers of patiënten risicovolle transacties doen en/of er vertrouwelijke gegevens mee uitwisselen - maar enorm in het belang van bezoekers van dergelijke websites.
Betrouwbare authenticatie van (de juridisch aansprakelijke) eigenaar van een website m.b.v. een website-certificaat vormt *technisch* geen enkel probleem (dit *hadden* we al, maar is met een smoes gesloopt door Google).
In gratis certificaten, bijvoorbeeld van Let's Encrypt (zoals gebruikt door de nepwebsites in onderstaand plaatje) staat uitsluitend een volstrekt anonieme domeinnaam; je hebt dus geen idee wie verantwoordelijk is voor de website.
Juist bij overheidswebsites is het essentieel dat je weet dat het écht om een overheidswebsite gaat - iets dat bij de in het plaatje getoonde domeinnamen (ik heb de punt door + vervangen), zoals:
• afhandelen-belasting+com
• aflossen-belastingdienst+com
beslist *niet* het geval is.
En in de echte https://www.ggn.nl/contact/phishing/ kunt u voorbeelden zien van domeinnamen van nepwebsites, zoals ook te zien in onderstaand plaatje.
Kennelijk lukt het niemand om dergelijke criminele websites uit de lucht te halen, terwijl de misdadigers er probleemloos Let's Encrypt certificaten voor *blijven* verkrijgen - naast dat de naar phishing stinkende domeinnamen zonder blikken of blozen worden verhuurd en nooit worden ingetrokken. Dit is simpelweg de SNELSTE en GOEDKOOPSTE oplossing voor eigenaren van websites; de *BEZOEKERS* van die websites draaien op voor alle risico's.
Het onderstaande plaatje is van een Russische server, maar dit soort phishing websites vind je ook bij de vleet op door criminelen gehuurde servers van Google, Amazon, Microsoft, Digital Ocean, Cloudflare en kleinere westerse hostingbedrijven.
Ben ik nou ÉCHT DE ÉNIGE die vindt dat deze gecriminaliseerde puinhoop keihard moet worden aangepakt?
Zie mijn uitgebreide reactie in https://security.nl/posting/876914 (beginnend met eenvoudige uitleg wat een website-certificaat is).
Nb. naast certificaatuitgevers moeten ook browsers en het CA/B-forum op de schop. Doen we dit allemaal niet, dan wordt verder digitaliseren een gigantische puinhoop met steeds meer slachtoffers van identiteitsfraude.
#DVcerts #ACME #LetsEncrypt #NepSites #NepWebSites #Phishing #Spoofing #Scams #IdentiteitsFraude #Authenticatie #Impersonatie #GoogleIsEvil #BigTechIsEvil #FakeWebSites #AnoniemeWebsites #AnonymousWebsites #OnlineAuthenticatie #LeeftijdVerificatie #OnlineLeeftijdVerificatie #Authentication #Impersonation #OnlineAuthentication #AgeVerification #OnlineAgeVerification #AitM #MitM #Evilginx2
![Screenshot van een deel van de webpagina https://www.virustotal.com/gui/ip-address/193.143.1.14/relations
Te zien zijn een reeks domeinnamen die vandaag (in alle gevallen is links de datum 2025-02-19 te zien) via DNS resolvden naar IP-adres 193.143.1.14 (een server in Rusland).
Te zien zijn domeinnamen en het aantal virusscanners dat erop aanslaat (die laatste vooraan en, om onbedoeld openen te voorkómen, heb ik de punt vervangen door een plusje), waaronder:
15/94 aanmaning-aflossen+com
10/94 aanmaning-omleiding24+com
[...] ik laat een stel Engelstalige weg
12/84 afbetalen-ggn+com
6/94 afhandelen-belasting+com
13/94 aflossen-belastingdienst+com
6/94 aflossen-nl+com
14/94 afronden-ggn+com
Die laatste valt half buiten het plaatje (een bonusje voor Alt-lezers).
GGN.nl is een bekend incassobureau en deurwaarderskantoor.](/proxy/post_attachment/73701/437aee924e.jpeg "Screenshot van een deel van de webpagina https://www.virustotal.com/gui/ip-address/193.143.1.14/relations
Te zien zijn een reeks domeinnamen die vandaag (in alle gevallen is links de datum 2025-02-19 te zien) via DNS resolvden naar IP-adres 193.143.1.14 (een server in Rusland).
Te zien zijn domeinnamen en het aantal virusscanners dat erop aanslaat (die laatste vooraan en, om onbedoeld openen te voorkómen, heb ik de punt vervangen door een plusje), waaronder:
15/94 aanmaning-aflossen+com
10/94 aanmaning-omleiding24+com
[...] ik laat een stel Engelstalige weg
12/84 afbetalen-ggn+com
6/94 afhandelen-belasting+com
13/94 aflossen-belastingdienst+com
6/94 aflossen-nl+com
14/94 afronden-ggn+com
Die laatste valt half buiten het plaatje (een bonusje voor Alt-lezers).
GGN.nl is een bekend incassobureau en deurwaarderskantoor.")