HTTPS-scanning - waarom het op de Sophos geactiveerd moet zijn
Met het onderwerp ‘versleuteling’ is het zo’n ding. Hebben jullie niet ook het gevoel dat je er regelmatig iets over hoort, er zelfs over praat, maar dat de adoptie toch wat stroef verloopt? Met het project ‘Let’s Encrypt’ heeft in ieder geval de versleutelde communicatie op internet, tussen een website en een bezoeker, een flinke impuls gekregen. Dankzij gratis SSL-certificaten wil Let’s Encrypt een versleutelde verbinding tot de standaard maken.
In dit blogartikel wil ik laten zien wat het voor jullie Sophos Firewall betekent als opeens de meerderheid van het webverkeer versleuteld is.
Het begin van “https://”
Laten we kort een paar jaar teruggaan in de tijd en kijken hoe de ontwikkelingen richting ‘https://’ op internet zijn verlopen. Met de Avanet hebben we deze periode grotendeels via bijdragen van Google meegemaakt. Excuseer daarom dat de volgende kleine tijdlijn ook behoorlijk ‘Google-zwaar’ uitvalt.
- 2010 - Google versleutelt zoekopdrachten (BETA)
- 2011 - YouTube wordt standaard versleuteld
- 2013 - Edward Snowden stelt dat goede versleuteling veilig is
- 2013 - (maart) De Google-zoekopdracht wordt nu standaard versleuteld
- 2014 - Google geeft HTTPS-sites een rankingvoordeel om gebruikers te verleiden over te stappen
- 2015 - (03.12.2015) Let’s Encrypt gaat de publieke bètafase voor iedereen in
- 2016 - (09.03.2016) Let’s Encrypt heeft al 1 miljoen certificaten uitgegeven
- 2016 - (13.04.2016) Let’s Encrypt beëindigt de bètafase
- 2016 - (16.10.2016) HTTPS-versleuteling op het web bereikt voor het eerst 50 procent
- 2017 - (24.10.2017) 71 van de 100 meestbezochte websites zetten in op HTTPS
- 2018 - (februari) 81 van de top-100-sites op het web gebruiken standaard HTTPS
1,7 miljoen certificaten voor meer dan 3,8 miljoen websites.
Naar onze mening heeft Google, met zijn macht als zoekgigant, er sterk aan bijgedragen dat webmasters hun websites steeds vaker met een SSL-certificaat uitrusten. Door de aankondiging dat versleutelde verbindingen in de toekomst ook invloed zullen hebben op de ranking van een website, ben je praktisch gedwongen een SSL-certificaat te implementeren. Dankzij Let’s Encrypt kan dat nu zelfs gratis.
*Natuurlijk hebben we Let’s Encrypt zelf inmiddels ook uitgeprobeerd. Sinds januari 2016 is deze blog voorzien van een Let’s Encrypt-certificaat.
Versleuteling en security
De bovenstaande grafiek liet al duidelijk zien dat versleutelde websites in de toekomst waarschijnlijk de standaard zullen zijn. Dat is op zich toch iets goeds, of niet? Ja en nee. Voor een bezoeker is het uiteraard uitstekend als de communicatie tussen hem en de opgevraagde website versleuteld is. Zeker bij webshops, waar gevoelige gegevens worden verzonden, levert dit extra vertrouwen op. Voor jullie firewall, die het verkeer juist wil scannen om malware te detecteren, is dat vanuit security-oogpunt helaas minder ideaal.
Een ‘normale’ firewall kan versleuteld verkeer niet scannen.
Voorkom een blindevlucht van jullie Sophos
Een SOPHOS Firewall is uiteraard geen ‘normale’ firewall. 🙂 Daardoor zullen sommigen van jullie weten dat de UTM al geruime tijd SSL-verbindingen kan scannen. Voorwaarde is uiteraard een geldige licentie voor Web Protection.
Toch komen we nog steeds relatief weinig configuraties tegen waarin deze feature daadwerkelijk is ingeschakeld. Het nadeel daarvan is dat al het HTTPS-verkeer niet op malware wordt gecontroleerd en dat ook botnet-communicatie ongemerkt door de UTM loopt. Dat geldt zowel voor de UTM als voor de XG. Op dit punt kan ik dus alleen maar aanraden om HTTPS-scanning op jullie SOPHOS te activeren.
Voorbeeld uit de praktijk
Laten we tot slot nog kort bekijken hoe het er in de praktijk uitziet met het HTTPS-verkeer. Bij een van onze klantenfirewalls ziet het er bijvoorbeeld zo uit:
Omdat ik meerdere firewalls beheer, kan ik bevestigen dat bij sommige installaties het HTTPS-verkeer inmiddels daadwerkelijk de overhand heeft. Dat is natuurlijk afhankelijk van het bedrijf en het surfgedrag van de medewerkers. Samenvattend kan ik echter zeggen dat het aandeel HTTPS-verkeer op alle door ons geanalyseerde firewalls gemiddeld boven de 30% ligt. Dat betekent dat zonder HTTPS-scanning bijna een derde van het verkeer ongescand door de firewall zou lopen.
In tijden waarin ransomware zich verstopt in JavaScript-code van gehackte websites, moet je simpelweg alle registers van je firewall opentrekken. Zorg er dus voor dat jullie de volgende punten op jullie to-dolijst zetten:
- HTTPS-scanning activeren
- Sandboxing gebruiken (Sophos Sandstorm)
- Antivirus met HIPS en Malicious Traffic Detection inzetten
- Gebruikers grondig trainen
Conclusie
Waar het vroeger nog zeldzaam was dat websites met een SSL-certificaat waren uitgerust, is het dankzij Let’s Encrypt nu heel eenvoudig - en bovendien kosteloos - om zelf zo’n certificaat uit te geven. De statistieken laten duidelijk zien dat er in de toekomst waarschijnlijk vrijwel alleen nog versleuteld webverkeer zal zijn. We raden daarom ten zeerste aan om HTTPS-scanning op de UTM of XG te activeren en goed in te richten.
De tijd staat niet stil, en juist hier blijkt weer duidelijk dat je een firewall niet gewoon vijf jaar in een hoek kunt laten staan zonder er iets aan te wijzigen. Regelmatig onderhoud en periodieke reviews zijn absoluut noodzakelijk om op nieuwe dreigingen voorbereid te zijn.
