Author Topic: Waarom zijn alle payservers zo zwak beveiligd met SSL?  (Read 536 times)

resill

  • Just Arrived
  • *
  • Posts: 1
Hallo,

Ik zou graag willen weten waarom elke payserver (ik noem ze voor het gemak even providers) allemaal zwak beveiligde servers draaien? Hier zijn wat Qualys SSL Labs links voor de providers op deze pagina: https://www.binaries4all.nl/payservers/

XLned: https://www.ssllabs.com/ssltest/analyze.html?d=news.xlned.com
Eweka: https://www.ssllabs.com/ssltest/analyze.html?d=sslreader.eweka.nl
Pure Usenet: https://www.ssllabs.com/ssltest/analyze.html?d=news.pureusenet.nl
Yabnews: https://www.ssllabs.com/ssltest/analyze.html?d=news.yabnews.nl
VoordeligUsenet: https://www.ssllabs.com/ssltest/analyze.html?d=reader.voordeligusenet.nl&ignoreMismatch=on&latest
Extreme Usenet: https://www.ssllabs.com/ssltest/analyze.html?d=news.extremeusenet.nl&latest
Usenet.pro: https://www.ssllabs.com/ssltest/analyze.html?d=pro.sslusenet.com&latest
UsenetBucket: https://www.ssllabs.com/ssltest/analyze.html?d=reader.usenetbucket.com
123Usenet: https://www.ssllabs.com/ssltest/analyze.html?d=reader.123usenet.nl
NextGenNews: https://www.ssllabs.com/ssltest/analyze.html?d=news.nextgennews.net&ignoreMismatch=on&latest (certificaat is al bijna 2 jaar verlopen, maar heeft samen met UsenetServer als enige geen SSL2! Maar wel weer 3...)
Newshosting: https://www.ssllabs.com/ssltest/analyze.html?d=news.newshosting.com&latest
UsenetServer: https://www.ssllabs.com/ssltest/analyze.html?d=news.usenetserver.com&latest (Geen SSL 2! Maar wel weer SSL 3...)

(Bijna) alle providers vermelden hostnames op hun site de niet altijd overeen komen de naam in het certificaat, ondersteunen zwakke protocollen (zelfs SSL 2 en 3), zijn mede daarom vatbaar voor man-in-the-middle aanvallen (FREAK, POODLE), ondersteunen zwakke versleutelingen (RC4, zoals Jacob Appelbaum daar ons toentertijd via Twitter op wees), geen PFS, maar dan wel weer TLS_FALLBACK_SCSV zodat downgrade aanvallen worden getackeld. Echter, clients die standaard verbinden met verouderde protocollen en versleutelingen zijn dus wel weer automatisch vatbaar...

Veel sites vermelden hun hostnames op halfgebakken oude handleidingen voor het instellen van GrabIt / Spotnet (ja echt...) en dergelijke clients. Ik zag zelfs nog ergens een handleiding voor het installeren van FTD en daar moest ik toch wel even een nostalgisch traantje om laten... :'( Even goed, daar haalde ik bovenstaande hostnames vandaan.

Waarom is dit dit toch? Is het echt puur voor compatability redenen om verouderde client die klanten nog gebruiken te ondersteunen? Geld speelt altijd wel een rol, maar weegt het aantal klanten dat alleen nog SSL 2 of 3 ondersteund, hoger op dan het waarborgen van veiligheid zoals elke provider daar trots mee te koop loopt op hun web sites? Ik vind het zeer merkwaardig.

Uitkijkend naar jullie reacties.