Beveiligingscertificaten werken niet

Uit een parallelonderzoek onder 400 personen bleek, dat men geen goed beeld heeft van de betekenis van beveiligingscertificaten. Men blijkt het idee te hebben dat de waarschuwing ernstiger moet worden genomen naarmate men zelf minder vertrouwen heeft in de site die men bezoekt. Daaruit valt af te leiden dat men denkt dat het certificaat aangeeft hoe (on)betrouwbaar de site is die men bezoekt. Terwijl een certificaat juist bedoeld is om te valideren dat men de site bezoekt die men denkt te bezoeken. Men zou de waarschuwing dat er een probleem is met het beveiligingscertificaat dus juist ernstiger moeten nemen naarmate men vertrouwelijker zaken op een site wil afhandelen.

Browserleveranciers kunnen er wel voor zorgen dat surfers de waarschuwing voor ontbrekend beveiligingscertificaat serieuzer gaan nemen. De beste score in het onderzoek haalde Firefox 3. Daarin heeft Mozilla de waarschuwing in duidelijker taal gegoten, en is het lastiger gemaakt om de waarschuwing te negeren. Toch laat ook dan meer dan de helft van de surfers zich niet afschrikken. Dat brengt de onderzoekers tot de conclusie dat het reageren op het ontbreken van beveiligingscertificaten niet geheel aan de surfers moet worden overgelaten. In de browser zou functionaliteit moeten worden ingebouwd die kan herkennen of er sprake lijkt van een aanval, en die in dat geval het bezoeken van een site met een ondeugdelijk certificaat blokkeert, luidt hun aanbeveling.