Category

Online Veiligheid

EBRAND bundelt krachten met ScamAdviser

By | Online Veiligheid

Wij zijn verheugd te kunnen aankondigen dat ons bedrijf de strategische stap heeft genomen om oprichtingspartner te worden van ScamAdviser.

Scamadviser helpt consumenten beslissingen te nemen door websites te beoordelen met een Trust Score. Het algoritme maakt gebruik van 40 onafhankelijke gegevensbronnen – van het IP-adres van de webserver, de beschikbaarheid van contactgegevens op de website, de tijd dat de website bestaat, beoordelingen op beoordelingssites en nog veel meer. Elke maand helpt de dienst meer dan 3 miljoen consumenten om te ontdekken of een website legitiem is of een mogelijke zwendel.

Dankzij het partnerschap met ScamAdviser kan EBRAND oplichting nog efficiënter bestrijden. Het bedrijf gebruikt de door zijn partner verzamelde gegevens voor de bescherming tegen namaak. – Het is voor ons een natuurlijk proces om beide diensten samen te brengen op een geïntegreerde manier waar onze klanten van zullen profiteren – zegt Lutz Berneke, CEO van EBRAND. – We hopen ook onze kennis over online merkinbreuken uit te breiden. Ik ben ervan overtuigd dat deze alliantie zal uitmonden in een totaaloplossing aangezien onze doelstellingen elkaar aanvullen.

KORTERE GELDIGHEID SSL-CERTIFICATEN EN DE IMPACT ERVAN OP DOMEINEN VAN BEDRIJVEN

By | Online Veiligheid

SSL/TLS-certificaten die langer dan een jaar worden uitgegeven, worden vanaf 1 september 2020, na de aankondiging van Apple eerder dit jaar, niet meer ondersteund door de grootste browsers. Om de gebruikers efficiënter te beschermen, zullen de certificaten jaarlijks vernieuwd moeten worden om het risico te vermijden dat uw website uit de populaire browser verdwijnt.

In februari 2020 verklaarde Apple dat hun browser Safari geen SSL-certificaten meer gaat ondersteunen met een geldigheidsduur van meer dan 398 dagen (één jaar plus respijtperiode voor verlenging). Het besluit werd aangekondigd op het CA/Browser Forum in Bratislava, zes maanden nadat hetzelfde door Google voorgestelde idee werd afgewezen tijdens CA/B Forum Ballot SC22. Verkorting van de geldigheidsduur van certificaten werd vervolgens ontvangen met honderden negatieve opmerkingen van gebruikers, die verwachtten dat er meer werk en tijd zou moeten worden besteed aan het beheer van SSL certificaten. Waar Google faalde, ging Apple verder en nam het initiatief. Vanaf 1 september 2020 geeft de Safari-browser alleen het volgende weer:

  • websites met SSL/TLS-certificaten verkregen na 1 september 2020 met een geldigheidsduur van één jaar,
  • websites met SSL/TLS-certificaten die onder de oude regels geldig zijn.

De beperking heeft geen invloed op tussenproducten en roots of andere soorten SSL/TLS-certificaten. In een zogenaamde vertrouwensketen wordt een basiscertificaat gebruikt om certificaatautoriteiten te identificeren, die vervolgens tussen- en eindcertificaten afgeven. Certificaatautoriteiten mogen zich dus geen zorgen maken over hun identificatie in de public key infrastructuur.

De beslissing zal voor niemand schokkend zijn, aangezien de industrie zich de afgelopen jaren al op deze stap heeft voorbereid. Een kortere levensduur van een certificaat wordt gerechtvaardigd door de hogere beveiliging die het biedt, vooral door ervoor te zorgen dat regelmatig nieuwe coderingssleutels worden gegenereerd. Na deze aanpassing van Apple heeft Google aangekondigd dat dezelfde beperkingen op openbare SSL/TLS-certificaten op 1 september 2020 van kracht zullen worden. Omdat Google Chrome en Safari de twee meest populaire browsers zijn, met 63,7% en 13, 6% van de gebruikers, is het te verwachten dat andere browsers dit voorbeeld snel zullen volgen. Een andere grote browser, Mozilla Firefox (4,09% gebruikers), heeft het publiek al geïnformeerd over hun acceptatie van deze nieuwe standaard.

Wat betekent dit voor de website van uw bedrijf?

Kortere geldigheid van certificaten betekent dat eigenaren van domeinnamen gedwongen zullen worden meer tijd en moeite te besteden aan het up-to-date houden van hun certificaten. Als de verlengingsdeadline wordt gemist, geven de browsers geen website weer vanwege een storing in de HTTPS-verbinding en zal er vervolgens een foutmelding verschijnen. Anderzijds hebben eenjarige certificaten meerdere voordelen:

  • ze zorgen ervoor dat er vaker coderingssleutels worden aangemaakt, wat de bescherming van uw merk online aanzienlijk verhoogt;
  • in het geval dat een certificaat aangetast is, dan zorgt een kortere vervaldatum ervoor dat de schade en blootstellingstijd tot een kortere tijd beperkt wordt;
  • jaarlijkse updates, in tegenstelling tot tweejaarlijkse, vergemakkelijken de uitwisseling van informatie tussen bedrijven, zoals bedrijfsnamen, adressen, actieve domeinen enz.

De omschakeling van handmatig naar geautomatiseerd certificatenbeheer wordt daarmee onvermijdelijk. Het beheren van grote domeinportfolio’s kan tijdrovend zijn. Hoewel er gratis standaard SSL-certificaten beschikbaar zijn via internet, bieden ze geen ondersteuning en garantie. EBRAND is er om oplossingen te bieden die uw zakelijke websites onder controle houden en u helpen tijd te besparen door al uw SSL-certificaten en domeinnamen te centraliseren. Wij raden u aan om een meer uitgebreide tool te vertrouwen om de gegevensuitwisseling tussen uw website en uw gebruikers te beveiligen.

Met EBRAND heeft u al uw SSL-certificaten op één plek voor eenvoudig beheer met behulp van één enkele interface om al uw technische aanpassingen te controleren. Wij werken met wereldwijd gerenommeerde WebTrust-geaccrediteerde Certificaatautoriteiten die bekend staan om het handhaven van hoge encryptiestandaarden.
Als u hulp nodig heeft bij het selecteren van het juiste SSL-certificaat voor uw behoeften, of als u algemene vragen heeft over SSL, laat het ons weten. We helpen u graag!

Hoe AVG van invloed is op de strijd tegen online inbreuken

Hoe AVG van invloed is op de strijd tegen online inbreuken

By | Merknamen, Online Veiligheid

Op 25 mei 2018 ging de Algemene Verordening Gegevensbescherming (AVG) van kracht, wat op elke entiteit van invloed is die de persoonsgegevens van Europese ingezetenen verwerkt. Het WHOIS-systeem, een openbaar bestand vol met persoonsgegevens, lijkt op het eerste gezicht incompatibel met deze nieuwe verordening. Hoe is de AVG van invloed op de strijd tegen inbreuken en misbruik online?

Om een helder beeld te verschaffen, hebben wij Luc Seufer, Chief Legal Officer van de EBRAND Group geïnterviewd.

Kunt u vertellen of EBRAND door de AVG is beïnvloed?

Gezien onze soort clientèle en de diensten die wij aanbieden, weet EBRAND uit de eerste hand welke zorgen de AVG oproepen voor de sector domeinnamen.

Als een domeinregistrar is de bescherming van de persoonsgegevens van onze klanten van essentieel belang. Daarom hebben wij in dit opzicht altijd aan alle toepasselijke wetten voldaan. Afgezien van de verwerking van bepaalde gegevens in onze WHOIS-databases, heeft de Verordening geen drastische wijzigingen opgelegd in de manier waarop wij handelen, maar is er nu wel sprake van een zorgvuldige documentatie.

Als dienstverlener van merkbescherming betekent de eerder genoemde verwerking echter geen onoverkomelijke hindernis.

De afgelopen maanden is een constante stroom artikelen gepubliceerd van groepen voor de bescherming van intellectueel eigendom om het publiek en wetgevers te waarschuwen over de ernstige gevolgen van wat zij de “Stillegging van WHOIS” noemen. Kunt u daar iets meer over zeggen?

Om de huidige stand van zaken te kunnen begrijpen, wil ik graag een korte geschiedenis van ICANN en gegevensprivacy schetsen. Jarenlang hebben specialisten op het gebied van gegevensprivacy ICANN formeel en informeel verteld dat bepaalde beleidsvormen een inbreuk maakten op de Europese wetten op gegevensbescherming.

De voormalige Artikel 29-werkgroep, nu omgedoopt tot het Europees Comité voor Gegevensbescherming, verstuurde meerdere brieven naar de achtereenvolgende CEO’s bij ICANN. Helaas nam niemand die waarschuwingen serieus en werden er nooit de nodige hervormingen gestart.

Goran Marby, de huidige CEO van de organisatie, moest druk uitoefenen op de raad van bestuur van ICANN om een tijdelijk beleid goed te keuren zodat Registry’s)en registrars de maatregelen kunnen treffen die zij noodzakelijk achtten om aan de AVG te voldoen.

De tekst van dit beleid is echter zo vaag dat elk Registry)en elke registrar een ander serie regels heeft geïmplementeerd. Bepaalde Registry’s)bewerken bijvoorbeeld elk Whois-dossier in hun database zonder rekening te houden met de locatie van de registrant of met het feit dat ze een rechtspersoon zijn en dus buiten het bereik van de Verordening vallen.

Andere, zoals EBRAND, hebben een meer pragmatische benadering, en bewerken alleen gegevens van natuurlijke personen, maar tonen tegelijkertijd een anoniem gemaakt e-mailcontact voor die registranten. Weer andere hebben ervoor gekozen op hun websites een contactformulier beschikbaar te stellen. En sommige hebben zelfs geprobeerd een toegangsmodel te creëren met een pseudoaccreditatiesysteem.

In een paar maanden is het zonder twijfel moeilijk geworden toegang te krijgen tot de contactgegevens van domeinnaamregistranten.

Is het niet de rol van ICANN de normen voor de sector te bepalen en deze te handhaven?

Tijdens de laatste bijeenkomst in Panama-Stad, die ik heb bijgewoond, kondigde ICANN aan dat met een versneld proces voor beleidsontwikkeling is gestart, zodat een duurzame wereldwijde oplossing kan worden gecreëerd. Het is de doelstelling van ICANN dit nieuwe beleid af te ronden en eind april 2019 in werking te laten treden.

Hoewel dit voor het grote publiek heel langzaam kan lijken, is het razendsnel voor ICANN. Even ter herinnering, ICANN deed er 10 jaar over om het nieuwe extensieprogramma te lanceren.

Dit nieuwe beleid moet een trapsgewijs toegangsysteem tot de Whois-databases introduceren. Wetshandhavende instanties moeten bijvoorbeeld een bepaald soort toegang hebben, IP-eigenaars een ander, registrars een ander, beveiligingsonderzoeker een ander.

Zoals eerder vermeld hebben bepaalde registrars geprobeerd vooruit te lopen op ICANN door hun eigen trapsgewijze toegang te bedenken, maar hun modellen zijn niet op een gemeenschappelijk standaard gebaseerd en worden door de registrars zelf uitgevoerd. Hoewel registrars vermoedelijk competente technische dienstverleners zijn, zijn ze zeker niet gekwalificeerd om de wettigheid te beoordelen van aanvragen tot toegang tot de persoonsgegevens van klanten. Volgens mij is dit initiatief nogal gevaarlijk en weinig geschikt, maar het verlangen naar een oplossing verklaart dit ontwerp.

Betekent dit dat het Domeinnaamsysteem (DNS) echt een wetteloze plek is geworden?

Niet echt. Naast de eigen lokale wetten, is elke door ICANN geaccrediteerde registrar gebonden door dezelfde accreditatieovereenkomst met ICANN. Deze overeenkomst verplicht registrars een zogeheten contactpunt voor misbruik te handhaven. Ze moeten rapporten onderzoeken over illegale activiteiten met domeinnamen die zij beheren.

Uit de resultaten van ons handhavingsteam blijkt dat het nog steeds mogelijk is de opschorting van domeinnamen te bewerkstelligen, die op illegale wijze worden gebruikt. Maar het is zeer lastig om de identiteit van de persoon achter het misbruik te achterhalen.

Dus het is niet meer mogelijk de inbreuk makende partijen te identificeren?

Ook hier weer ligt de kern van het probleem bij het gebrek aan een standaardproces en -beleid. Iedere persoon die een WHOIS-database handhaaft (Registry)of registrar) handelt volgens zijn/haar eigen interpretatie van AVG.

Sommigen zijn vastbesloten dat ze alleen met een gerechtelijke beslissing persoonsgegevens mogen openbaar maken. Anderen eisen uitsluitend een onderbouwde klacht die aan de DMCA-eisen voldoet. En sommigen hebben geen idee en zeggen helaas niets.

Als de inbreuk door de domeinnaam zelf gebeurt, kan de start van een UDRP of URS worden overwogen, omdat dit de registrar zal verplichten de gegevens van de registrant openbaar te maken. Deze route is echter duur als het alleen maar om een openbaarmaking gaat.

Maar dit betekent niet dat merkeigenaars aan hun lot worden overgelaten. EBRAND heeft in de loop der jaren een serie innovatieve technologische tools ontwikkeld die, ondanks de huidige situatie, nog steeds volledig functioneel zijn.

Luc Seufer, Chief Legal Officer EBRAND Group

Deadlines SSL-certificaat: bent u klaar voor Googles wijzigingen?

By | Online Veiligheid

Een SSL-certificaat (Secure Socket Layer) is in wezen een serie cryptografische protocollen die de communicatie via een computernetwerk veiligheid bieden. Bankgegevens, creditkaartnummers en andere privé-informatie die vanaf een webbrowser van een gebruiker wordt verzonden naar een server van een site is versleuteld om te voorkomen dat dieven dit kunnen onderscheppen. En dankzij Googles inspanningen om een veiliger, meer beveiligd internet te maken, is SSL steeds meer gemeengoed aan het worden.

Steeds meer eigenaars en ontwikkelaars van websites maken gebruik van SSL-certificaten, met name zij die HTTPS-versleuteling aanbieden (in tegenstelling tot de nu gedateerde HTTP-versleuteling). HTTPS (HyperText Transfer Protocol Secure) voorziet in end-to-end versleuteling van alle informatie die via een website wordt verzonden en ontvangen, zodat gebruikers tegen criminele inmenging zijn beveiligd en beschermd.

Vandaag de dag wordt min of meer verwacht dat iedereen in HTTPS-versleuteling voorziet. Klanten voelen zich steeds ongemakkelijker over het delen van gevoelige informatie online en weten naar welke vertrouwenindicators – groene slotje, vertrouwenbadge – ze moeten uitkijken. En als u die indicatoren niet kunt leveren, zullen ze snel naar een site gaan die daartoe wel in staat is. Eigenlijk moedigt Google aan juist dat te doen.

Google wordt serieus over HTTPS-versleuteling

Een SSL-certificaat is een eenvoudige, kosteneffectieve manier voor website-eigenaars om onlinetransacties te beveiligen. En nu, als u niet in HTTPS-versleuteling voorziet, stopt Google u in de strafzone.

De zoekmachinereus heeft zijn inspanningen vergroot om voor een veiliger internet te zorgen, waardoor een SSL-certificaat meer nodig is dan ooit tevoren. Laten we eens kijken naar deze updates van Chrome.

Chrome 68, versie van juli 2018

In de versie van juli 2018 van Chrome 68 markeert Google elke website zonder HTTPS-versleuteling als “niet veilig”. En dat is nog niet alles, gebruikers zien in hun browsers niet het bekende slotje, de groene tekst en HTTPS, die er allemaal op duiden dat een site niet verdacht is. Met andere woorden, gebruikers zien meteen in dat de site onveilig is om persoonsgegevens te delen.

Chrome 68, July 2018 release

Chrome 69, versie van september 2018

In de versie van Chrome 69, zien gebruikers niet meer de groene letters “Secure” die ze op sites zagen die HTTPS gebruiken. (Uiteindelijk zal ook het groene slotje verdwijnen.) Maar de beveiliging zelf verandert niet. In feite maakt Google gebruikers erop attent dat HTTPS het nieuwe “normaal” is en, tenzij hen iets anders wordt verteld, kunnen ze er gerust op zijn dat een site van de gepaste versleuteling gebruikmaakt zonder dat hiervoor te veel aandacht wordt gevraagd.
Chrome 69, September 2018 release

Chrome 70, versie van oktober 2018

Bij Chrome 70 krijgen gebruikers een rode waarschuwing “onveilig” te zien wanneer zij op het punt staan gegevens in te voeren in een onveilige HTTP-pagina. In het verleden heeft Google dit niet gedaan, omdat het gebruik van HTTP te groot was en daarom was het onrealistisch om elke pagina van een waarschuwing te voorzien. Maar nu dat HTTPS de norm is, zet Google die stap wel.

Chrome 70, October 2018 release

SSL-certificaten van EBRAND houdt Google tevreden

EBRAND biedt drie SSL-certificaten, die allemaal in een andere online beveiliging voorzien, afhankelijk van uw unieke behoeftes. Alle certificaten hebben HTTPS-versleuteling, worden ondersteund door Google Chrome, en kunnen eenvoudig worden geactiveerd.

Domein Validatie SSL

  • Ideaal voor blogs, sociale netwerken en persoonlijke websites
  • Configureert meerdere domeinnamen die op verschillende IP-adressen werken
  • Een goedkope optie die in een kwestie van minuten is ingesteld

Organisatie Validatie SSL

  • Ideaal voor websites van ondernemingen
  • De authenticiteit van de onderneming wordt bevestigd door onze certificeringsinstantie GlobalSIgn, zodat gebruikers ervan verzekerd kunnen zijn dat uw site legitiem, en niet die van een bedrieger is
  • Biedt een hogere authenticatie dan het domein gevalideerde certificaat

SSL voor uitgebreide validatie

  • Ideaal voor e-commerce- en banksites
  • Dit bevat een strikter audit- en validatie proces dat jaarlijks wordt uitgevoerd
  • Dit biedt de hoogst mogelijke beveiliging

Wildcard-optie

  • Wildcard-optie is beschikbaar voor uw primaire domeinnaam en voor onbeperkte subdomeinen en gerelateerde servers
  • Ideale oplossing voor iedereen met meerdere pagina’s, websites en servers. Alles wordt onder een enkele hoofddomeinnaam beschermd
  • Beschikbaar voor Domein Validatie en Organisatie Validatie)

Niet alle SSL-certificaten worden als gelijk beschouwd

Let erop dat u uw SSL-certificaat bij een betrouwbare, gerenommeerde dealer aanschaft. Niet alle SSL-dealers staan erom bekend de gepaste gangbare praktijken te hebben gevolgd.

Een voorbeeld: vorig jaar nog gaven GeoTrust, RapidSSL en Thawte toe dat ze bij de afgifte van bepaalde certificaten niet de gepaste procedures hadden gevolgd. Daarom is Google begonnen sites te markeren die van deze certificaten gebruikmaken met een nogal eng klinkende waarschuwing:

Private connection warning

Met EBRAND hoeft u zich nergens zorgen over te maken. Wij werken samen met de internationaal bekende, door WebTrust geaccrediteerde certificeringsinstantie GlobalSign, die erom bekend staat hoge versleutelingsnormen te hanteren.

Als u hulp nodig hebt bij de keuze van het juiste SSL-certificaat voor uw behoeftes, of als u gewoon algemene vragen hebt over SSL, laat het ons dan weten. Wij zijn u graag van dienst!