Mollie beste HTTPS-beveiliging onder PSPs

Deze week plaatste een PSP uit Nederland een update over een vernieuwd veiligheidsprotocol: een overstap naar TLS 1.2 voor de encryptie van HTTPS-verkeer. Dit omdat ze de eerdere standaard TLS 1.0 niet veilig meer vonden. Hiermee meent deze partij dat de veiligheid van de gegevens van hun klanten weer "blijvend gewaarborgd kan worden".

HTTPS is een techniek waarbij het verkeer tussen een webserver en een browser of client versleuteld en geauthenticeerd is. Het is een zogenaamde transport-level beveiliging. De laatste tijd stappen steeds meer websites over op HTTPS.

Wanneer het veilige HTTPS-protocol gebruikt wordt, is een groen hangslot zichtbaar in de browser. Dit garandeert dat je met de partij communiceert waarmee je denkt te communiceren, dat niemand de verbinding heeft onderschept en dat dankzij encryptie niemand de verstuurde data kan meelezen. Deze encryptie kan met verschillende ciphers (encryptiealgoritmes) uitgevoerd worden. De webserver en de browser onderhandelen over de te gebruiken cipher. Sommige ciphers zijn veiliger dan andere, maar niet alle browsers ondersteunen alle ciphers. Mollie kiest ervoor om bepaalde ciphers niet te ondersteunen, omdat aangetoond is dat ze relatief gemakkelijk gekraakt kunnen worden.

Daarnaast zijn er nog diverse extra maatregelen die een website kan gebruiken om te zorgen dat de verbinding veilig is. Voorbeelden hiervan zijn HTTP Strict Transport Security, dat voorkomt dat malafide tussenpartijen de verbinding van HTTPS naar HTTP downgraden (Mollie implementeert dit sinds september 2013) en Forward Secrecy, dat voorkomt dat historische communicatie kan worden gelezen, zelfs als de sleutels die hierbij gebruikt werden van de servers gestolen worden.

De kwaliteit van de HTTPS-implementatie van een domein kan eenvoudig vergeleken worden via de industry standard analysewebsite SSL labs. SSL labs kwam met de volgende resultaten:

Payment Service Provider Geteste domein Score volgens SSL Labs
Mollie www.mollie.com

Screen-Shot-2016-06-22-at-14.41.25

PSP #1 www.a...com

Screen-Shot-2016-06-22-at-14.41.32

PSP #2 www.m...com

Screen-Shot-2016-06-22-at-14.41.32

PSP #3 www.p...nl

Screen-Shot-2016-06-22-at-14.41.16

PSP #4 www.s...nl

Screen-Shot-2016-06-22-at-16.12.18

PSP #5 www.b...nl

Screen-Shot-2016-06-22-at-14.41.44

PSP #6 www.t...nl

Screen-Shot-2016-06-22-at-14.41.44

Conclusie

De meeste Payment Service Providers hebben hun transport-level beveiliging prima op orde, maar kunnen nog kleine verbeteringen maken om de veiligheid te verhogen. Twee geteste PSP's zijn nog kwetsbaar voor de OpenSSL Padding Oracle vulnerability (CVE-2016-2107) en krijgen daarom een F van SSL Labs.

Natuurlijk is de transport-level beveiliging niet het enige waaruit het niveau van de beveiliging afgeleid kan worden. Andere zaken op applicatie- of organisatieniveau die impact hebben op de veiligheid hebben zijn bijvoorbeeld:

  • Hoe worden brute-force wachtwoordaanvallen voorkomen?
  • Hoe worden social engineering aanvallen voorkomen?
  • Wat doet de Payment Service Provider om XSS- of SQLi-kwetsbaarheden te voorkomen?
  • Wordt encryptie toegepast op cold data?
Mollie past veiligheid op alle niveaus toe. Zo laat Mollie jaarlijks een penetratietest uitvoeren, heeft een security-awarenessbeleid en -trainingen voor alle personeelsleden, onderzoekt de beveiliging van haar leveranciers proactief en controleert actief op beveiligingsproblemen in haar applicaties. Uiteraard kiezen we ook op technisch niveau voor de beste beveiliging.

Veiligheid van gegevens kun je namelijk niet waarborgen door een eenvoudige technische wijziging te doen: het is een continu proces en moet op ieder niveau in de organisatie doorgevoerd worden. Mollie loopt hierin voorop.

Update 29 junide PSP uit het begin van het artikel heeft de CVE-2016-2107 kwetsbaarheid inmiddels opgelost.