Commentaar: Vertrouwenscrisis

15 april 2011

Op internet kunnen bedrijven bewijzen dat ze geen wolf zijn met zogeheten SSL-certificaten, die uitgegeven worden door commercieel opererende ‘Certificate Authorities’. Met deze certificaten kunnen browsers controleren of ze de bedoelde website te pakken hebben. De surfer ziet dat aan het slotje, en het voorvoegsel https.

Dat systeem berust op het vertrouwen dat die CA’s hun werk goed doen. Maar dat vertrouwen heeft een forse deuk opgelopen. CA’s hebben tienduizenden domeinnamen uitgegeven die niet aan de regels voldoen, concludeert de Electronic Frontier Foundation. Malafide opzetjes zijn nog niet geconstateerd. Maar als de regels niet worden nageleefd, lijkt het een kwestie van tijd dat een bedrieger een certificaat weet te krijgen bij een malafide, maar legitiem ogend webadres. Die site is dan niet van echt te onderscheiden.

Er zijn zo langzamerhand ook wel erg veel partijen betrokken bij het uitgeven van certificaten. 650 telde de EFF er. Dat maakt de zaken onoverzichtelijk. De risico’s die dat oplevert werden onlangs treffend geïllustreerd door een geslaagde nepaanvraag voor certificaten voor Gmail, Hotmail en Skype bij een partner van Comodo, een van de CA’s.

Dat vertrouwensprobleem bestaat in de fysieke wereld ook. Het is vaak moeilijk vast te stellen of je met een legitiem bedrijf te maken hebt. Om dat probleem te ondervangen, hebben overheden handelsregisters ingesteld. Waarom overheden die verantwoordelijkheid op internet nog niet naar zich toegetrokken hebben, laat zich lastig verklaren. Maar dat het hoog tijd wordt dat ze die taak van de CA’s overnemen, of de CA’s gaan reguleren, dat staat wel vast.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!