Google wil meer grip op vertrouwen gebruiker met eigen 'root store'

Een browser voert bij het opvragen van pagina's bij een website een check uit op de gebruikte beveiligingscertificaten. Deze vormen de basis voor de versleuteling van het verkeer tussen de browser en de server waarop de website wordt gehost. Chrome maakte daarvoor tot nog toe gebruik van een mechanisme dat het besturingssysteem als service aanbiedt aan apps op dat computerplatform. Dus Chrome dat op een Windows 10-machine draait, maakt gebruik van de Windows 10-check en Chrome dat op macOS draait, checkt via het Apple-besturingssysteem. Daar komt nu dus verandering in omdat Google een eigen root store (ook wel root program genaamd) gaat inbouwen in zijn browser, zo heeft ZDNet opgemerkt.

Het voordeel voor Google is dat het bedrijf daarmee veel meer controle krijgt over welke certificaten als betrouwbaar worden bestempeld. Het hoeft niet langer af te wachten of en wanneer een certificaat wordt ingetrokken door de verstrekker ervan. En ook is Google niet langer afhankelijk van een OS-maker om ingetrokken of onbetrouwbaar geachte certificaten in de ban te doen. De afgelopen jaren zijn er meerdere gevallen geweest van certificaten die door Google op de zwarte lijst zijn gezet, maar die in de praktijk lang niet altijd direct 'uitgedreven' waren. Daarvoor was dan veelal nog actie door sitebeheerders nodig.

Vooraankondiging nu

Overigens is de nieuwe aanpak voorlopig nog in ontwikkeling. Google heeft nog niet duidelijk gemaakt wanneer Chrome van een eigen root store wordt voorzien. Het bedrijf heeft wel al een bericht gestuurd aan de 'certificate authorities' of CA's dat de nieuwe werkwijze er aankomt. Zij worden dan ook op het hart gedrukt te zorgen dat ze een aanvraag indienen bij Google om zich te kwalificeren voor de 'whitelist' van betrouwbare certificaatverstrekkers.

Doen zich incidenten voor, kan Google in de nieuwe werkwijze veel sneller reageren door certificaten van een bepaalde CA te weigeren. Voor beheerders van grote organisaties kan de stap een extra complicatie opleveren. Beheerder willen graag zelf ook een oogje in het zeil houden op de door hun gebruikte certificaten en hoe meer applicaties hun eigen root store hanteren met eigen beleid, hoe meer controles moeten worden uitgevoerd.