Tuesday, May 11, 2010

Het vertrouwen van een niet-vertrouwde website

Onlangs kreeg ik de volgende vraag in mijn mailbox:

Ik heb een probleem met een certificaatfout bij outlook web exchange. Onze server is https://61.236.1.137/exchange zodra je deze site bezoekt krijg ik de foutmelding. Nieuwe gebruikers met thuis Windows Vista kunnen nu helemaal niks meer door deze foutmelding.

Bij navraag bleek het te gaan om een server met Small Business Server 2003 die blijkbaar netjes geconfigureerd is met de Configure E-mail and Internet Configuration Wizard (CEICW). Laten we eens kijken wat er precies gebeurt als we naar die url toe gaan met onze browser:

image

Daar lezen we dat het certificaat van deze website niet is uitgegeven door een vertrouwde Certificate Authority. Dit betekent dat we niet met zekerheid vast kunnen stellen of deze website wel de site is dit we denken dat het is, misschien staat de site wel op een server die probeert ons wachtwoord te stelen. Naast de controle op de uitgever van het certificaat zal de browser ook de geldigheidsdatum van het certificaat controleren en ten slotte kijkt hij of de hostnaam in de adresbalk overeenkomt met de naam die op het certificaat staat. Als één of meer van die controles mislukken, dan wordt de gebruiker lastig gevallen met deze waarschuwing.

Bij dit voorbeeld is de waarschuwing relatief onschuldig en te verwachten bovendien. In de volgende stappen gaan we dit probleem oplossen, waarna de gebruiker niet meer wordt lastig gevallen door deze waarschuwing.

Om te beginnen openen Windows Vista of 7 gebruikers een ‘elevated’ Internet Explorer. Zoek in het Start Menu de snelkoppeling voor Internet Explorer, bijvoorbeeld voor het woord ‘internet’ in het zoekvakje te typen. Klik op de snelkoppeling met de rechtermuisknop en kies voor Run as Administrator.

image

In het browservenster wat nu geopend wordt typen we het adres van de website in de adresbalk. Wanneer bovenstaande waarschuwing verschijnt klikken we op Continue to this website (not recommended). De adresbalk kleurt rood en de website verschijnt in beeld:

image

Om meer te weten over het probleem met het certificaat klikken we op Certificate Error. Nu volgt nog eens een duidelijke uitleg van het probleem, de uitgever van het certificaat wordt door onze computer niet vertrouwd:

image

Omdat we dat certificaat wel eens willen zien klikken we op View certificates, het certificaat wordt nu getoond:

image

Ook hier worden we nog een keer geattendeerd op het feit dat de uitgever van dit certificaat niet vertrouwd wordt. Ook wordt uitgelegd dat we, om deze uitgever in het vervolg wel te vertrouwen, het certificaat kunnen installeren in de Trusted Root Certification Authorities store. Die ‘store’ kun je vergelijken met een opbergkast in je computer, in die kast zitten een aantal vakjes en worden de diverse certificaten opgeslagen. Eén van die vakjes is bestemd voor uitgevers van certificaten die wij vertrouwen, in dat vakje willen wij dit certificaat dus plaatsen.

Dat doen we door op de knop Install Certificate… te klikken. Er start nu een wizard waarbij we op de eerste pagina op Next klikken. Op de volgende pagina mogen we kiezen waar we dit certificaat willen installeren, klik op Browse en kies de Trusted Root Certificate Authorities store:

image

Bevestig de keuze met een klik op OK en vervolg de wizard door op Next en vervolgens op Finish te klikken. De volgende waarschuwing verschijnt nu:

image

Dit is misschien wel de belangrijkste vraag in het hele proces. Om zeker te weten dat je een certificaat installeert van de juiste website zou je nu eigenlijk de beheerder van de site moeten bellen om te vragen of deze vingerafdruk (Thumbprint) overeenkomt met die op het certificaat wat hij aan de echte website gekoppeld heeft. Maar in de praktijk zal dat zelden gebeuren. Dus klikken we op Yes, bevestigen de keuzes nog twee keer met een klik op OK en sluiten alle openstaande browservensters. Die laatste stap is belangrijk om zeker te weten dat de wijziging opgepikt wordt door Internet Explorer, voordat we dit gaan testen.

We openen vervolgens een nieuwe browser en gaan weer naar de bewuste url. We krijgen nu geen waarschuwing meer en de adresbalk kleurt niet meer rood:

image

Let op het gesloten slotje wat rechts van het adres staat, deze geeft aan de alle controles geslaagd zijn en dat er een versleutelde verbinding is opgebouwd. Het is nu veilig om in te loggen met je gebruikersnaam en wachtwoord, deze zullen niet eenvoudig afgeluisterd kunnen worden.

Tip voor beheerders

Wanneer jij een server beheert waarbij je een self-signed certificaat gebruikt, dat wil zeggen een certificaat wat standaard niet door internetbrowsers vertrouwd wordt, maak dan een verkorte handleiding voor je gebruikers. Laat de uitleg weg en geef alleen de te nemen stappen, eventueel met screenshots van een Nederlandstalige versie van Windows.

Maar overweeg ook eens om een certificaat aan te schaffen bij een uitgever van certificaten die vertrouwd wordt door de client computers. De kosten voor een certificaat wat 3 jaar geldig is zullen niet veel hoger uitvallen dan zo’n 300 euro. (prijsindicatie Digicert) Reken maar eens uit wat het kost als je 150 gebruikers elk een kwartiertje bezig zijn met bovenstaande handleiding, en dat opnieuw zullen doen voor een andere werkplek of mobile device. Een officieel certificaat duur? Dat valt dus best wel mee.

3 comments:

Anonymous said...

Als je Internet Explorer niet als 'administrator' kan/mag starten, dan kun je de 'Install Certificate' knop ook te zien krijgen door het domein eerst toe te voegen aan je 'trusted domains' lijst (als dat dan tenmiste wel mag...)

Ashley.

Sander Berkouwer said...

Vertrouwde SSL certificaten zijn tegenwoordig zelfs gewoon gratis ;-)

Bestel er één bij Startcom of CACert.org.

Jetze Mellema said...

Bedankt Ashley en Sander!