Archives for posts with tag: SSL

This blog runs on a shared host. The hosting provider runs an old version of DirectAdmin that does not support Let’s Encrypt. (The latest version does.) I wanted to have TLS enabled for my blog, so took the plunge to do a manual install using certbot. It wasn’t as painful as I feared. Here’s what I did.

Read the rest of this entry »

The Heartbleed bug in a software library (called OpenSSL) used to secure many websites allows an attacker to trick these websites to send an arbitrary memory block of 64 kilobytes back to him. In this blog post I will argue that the way this bug was disclosed has greatly increased the damage it causes.

Read the rest of this entry »

Following the discussion at the Radboud University on the future of authenticating websites, I lead a similar discussion at TNO. This again lead to many remarks and suggestions, many of which were also raised in Nijmegen. But a few new observations were made as well.

Read the rest of this entry »

The recent hack of DigiNotar and the resulting upheaval (it was even discussed in Dutch parliament yesterday), has made painfully clear that the current system of certifying websites is insecure and needs replacement. During a discussion on this topic with my colleagues of the Digital Security group of the Radboud University Nijmegen, the following issues and ideas came up. I’d like to share them with you, and welcome any comments you may have.

Read the rest of this entry »

Vorige week werd bekend dat er twee maanden geleden een digitale inbraak bij certificate authority (CA) Diginotar heeft plaatsgevonden. Vrijdag bleek dat het niet is uit te sluiten dat ook PKIOverheid certificaten (die bijvoorbeeld door DigiD gebruikt worden) betrokken zijn geweest bij deze inbraak. Daarom doet de overheid Diginotar in de ban en zeggen browsermakers het vertrouwen in alle Diginotar certificaten op. De consequenties hiervan zijn groot, maar worden niet door iedereen even goed begrepen.

Read the rest of this entry »

Deze week stond de (on)veiligheid van het Internet weer ter discussie.
Een Gmail gebruiker in Iran ontdekte dat er iets mis was met het veiligheidscertificaat van die dienst. Die was namelijk vals. Het bleek dat al twee maanden geleden, op 19 juli, een digitale inbraak heeft plaatsgevonden bij Diginotar, een Nederlandse certification authority (CA). Daarbij zijn verschillende valse certificaten uit naam van Diginotar aangemaakt, waaronder het in Iran gebruikte, valse, certificaat voor Gmail.

Als noodmaatregel zijn er onmiddelijk nieuwe versies van alle belangrijke browsers (Firefox, Chrome, Explorer) uitgebracht, die een groot deel van alle door Diginotar uitgegeven certificaten ongeldig maken. Maar als gevolg hiervan worden vooral Nederlandse gebruikers gedupeerd. Diginotar heeft namelijk veel certificaten voor Nederlandse websites uitgegeven, zoals bijvoorbeeld DigiD. Mensen die na de update van hun browser via DigiD willen inloggen op een website van de overheid, krijgen een melding dat de verbinding mogelijk onveilig is!

Wat is er precies aan de hand? Hoe erg is dat? Waar ligt het aan? En wat kunnen we er aan doen?

Read the rest of this entry »