Cybercriminaliteit is big business geworden. Je kunt tegenwoordig geen krant openslaan of er staat wel iets in over problemen met computerbeveiliging.

Vorige week lazen we op deze site nog dat wachtwoorden binnenkort niet meer volstaan en dat we stilaan moeten uitkijken naar wachtzinnen (http://www.standaard.be/artikel/detail.aspx?artikelid=G132U7649&word=wachtwoorden/). Gisteren raakte bekend dat snoodaards erin geslaagd zijn om een aantal i-tunes accounts van onwetenden te plunderen (http://www.standaard.be/artikel/detail.aspx?artikelid=DMF20100825_039/ ).
We kunnen het niet genoeg zeggen: pas op uw tellen. En dat geldt zowel voor de aanbieders (de uitbaters van webwinkels en andere e-commerce toepassingen) als voor de gebruikers! Bij webwinkels en op andere websites waar je persoonlijke gegevens achterlaat, is het noodzakelijk dat die gegevens verstuurd en gecodeerd worden via een beveiligde verbinding. Anders is het voor kwaadwilligen vandaag de dag kinderspel om deze gegevens te onderscheppen en vervolgens te misbruiken. Dit kan via een zogenaamde Secure Sockets Layer (SSL) connectie. Je herkent zo’n beveiligde verbinding doordat er https:// in de adresbalk staat in plaats van http://.
Naast die SSL verbinding heb je ook een certificaat nodig dat bewijst dat de verbinding beveiligd is en dat je wel degelijk de eigenaar bent van de website. Daarvoor bestaan zogenaamde SSL certificaten. Dit zijn digitale certificaten die worden uitgegeven door erkende autoriteiten zoals Verisign, Comodo, Thawte en Geotrust. Zij controleren bij aanvraag of de koper van het certificaat overeenstemt met de eigenaar van de website. Een SSL certificaat bestaat uit 2 delen. Het eerste deel is leesbare tekst die informatie bevat over de eigenaar, de uitgever van het certificaat, etc. en het tweede versleuteld deel (niet leesbaar voor mensen) omvat de digitale handtekening en een publieke sleutel van de certificatie autoriteit.
Het is best mogelijk dat iemand een zogenaamde “tikfoutdomein” van uw webwinkel registreert. Toegepast op de webshop van deze krant zou dat dan bijvoorbeeld “Shop.standaaard.be” zijn, in plaats van “shop.standaard.be”. Hij kan dan wel een certificaat krijgen met de tikfout, maar nooit met jouw bedrijfsnaam erin vermeld. Wanneer je hierop terechtkomt, zie je dan ook onmiddellijk dat je bij een malafide organisatie koopt.
Op onze site http://order.combell.com vind je een voorbeeld van zo’n SSL certificaat. Wij maken gebruik van de laatste nieuwe generatie SSL certificaten die de adresbalk groen kleuren. Deze groene adresbalk certificaten worden pas na grondige controle door de SSL authority toegekend. Wanneer de adresbalk groen kleurt, weet je dan ook automatisch dat je je op een beveiligde website bevindt. Dit is een extra aanvulling op het bekende gele slotje. Je ziet onmiddellijk de eigenaar van de website en kan zelfs op het certificaat klikken voor meer details.
Uit een recente steekproef van Quales blijkt echter dat heel wat SSL certificaten verkeerd geïnstalleerd zijn. Slechts 70% van de aangetroffen certificaten bleek geldig en slechts 38% was goed geconfigureerd. Nog behoorlijk wat werk aan de (web)winkel dus…
 

Jonas Dhaenens