Beveiligers negeren risico's vervalste certificaten

De overgrote meerderheid - 90 procent - meent dat binnen twee jaar een geslaagde aanval uitgevoerd zal worden op een van de grote certificaatverstrekkers zoals Symantec, Comodo of Entrust. Ruim twee derde weet ook heel goed wat het risico is als een CA onbetrouwbaar is, maar de meesten ondernemen hier niets tegen. Een voorbeeld is de Chinese CA CNNIC. Google en Mozilla lieten onlangs weten deze overheidsCA niet meer te vertrouwen. Tot nu toe zijn slechts bij een kwart van de respondenten de certificaten die door CNNIC zijn uitgegeven van alle systemen verwijderd. Bijna een kwart heeft niets gedaan, een derde weet niet of er iets mee is gebeurd en de rest wacht af tot Apple en Microsoft nog iets gaan doen.

Daarbij blijkt men ook niet goed op de hoogte over wie nu verantwoordelijk is voor de beveiliging van de certificaten en cryptografische sleutels. Twee derde denkt dat de CA daar wel voor zorgt. Slechts een derde weet hoe het wel zit: zodra het certificaat is verstrekt, is de afnemer daarvan zelf verantwoordelijk voor de beveiliging ervan.