Er zitten te veel rotte appels tussen de digitale certificaten

Internet is te groot om blind te kunnen vertrouwen op de ruim 650 organisaties die nu digitale certificaten uitdelen. Er is een betere methode nodig om de veiligheid van websites te regelen.

Na het nachtelijk DigiNotar-alarm uit Den Haag eerst even wat geruststellende woorden. Want de kans dat Nederlandse gebruikers hun wachtwoorden, inlogcodes of persoonlijke gegevens zijn kwijtgeraakt is te verwaarlozen. „Het is erg onwaarschijnlijk”, zegt Jaap-Henk Hoepman, veiligheidsspecialist bij TNO en de Radboud Universiteit Nijmegen.

Maar wat hem wel zorgen baart is het uitgiftesysteem van certificaten. Dat een slecht beveiligd bedrijf als DigiNotar vertrouwd wordt door landelijke overheden, is te danken aan het gebrek aan toezicht op instanties die certificaten mogen uitgeven. Het is een getrapt systeem, waarbij enkele zogeheten ‘root certificate authority’ of Root CA een mandaat verlenen aan sub-CA’s. En die geven vervolgens weer andere partijen toestemming om digitale certificaten te creëren.

Hoepman vergelijkt het met het systeem van paspoorten: één land controleert de gegevens van zijn burgers en legt dat vast in een document. Andere landen gebruiken dat document om op hun beurt de identiteit te controleren. Maar er zitten veel „rotte appels” tussen de 650 bedrijven die certificaten verkopen. Vooral omdat ze certificaten aan mogen maken voor elk denkbaar domein. Zo kun je, zoals bij DigiNotar gebeurde, vanuit Nederland een certificaat maken voor websites van google.com.

Dat systeem was in de begintijd van het web wellicht handig, maar is nu aan herziening toe, vindt Hoepman. Het zou logisch zijn om de reikwijdte van certificaten te beperken, zodat je vanuit Nederland (of Iran) niet meer van veelbezochte Amerikaanse webdiensten certificaten kan verstrekken – en daarmee een geloofwaardig nepsite bouwen om bezoekers om de tuin te leiden.

De vraag is wie dan de algemene domeinen .com en .org zou mogen bedienen. Omdat het web alle internationale grenzen overschrijdt, is een gedecentraliseerd model nodig – elke centrale instantie zou een politiek probleem veroorzaken.

Een centrale instantie aanwijzen die strenge controles gaat uitvoeren om de rotte appels eruit te halen? Dat is geen goed idee, aldus Hoepman. „Moet dat dan een Amerikaanse instantie zijn? Die zal nooit goedgekeurd worden door de Chinese overheid. Die wil zelf zijn eigen certificaten kunnen uitgeven.” Omgekeerd zullen de Amerikanen nooit accepteren dat een Chinese partij de beveiligde verbinding in handen heeft. Bovendien zou dat het probleem van bedrijven die gehackt worden, niet oplossen.

De DigiNotar-zaak is zeker geen unicum: er zijn vaker bedrijven gehackt die certificaten uitgeven. De problemen voor Nederland ontstaan omdat DigiNotar op de zwarte lijst gezet wordt. Dat kan, omdat het een relatief kleine uitgever van digitale certificaten is – niet meer dan 2.000 op jaarbasis. De grootste partijen, zoals Verisign, leveren echter aan miljoenen websites. Zo’n leverancier op de zwarte lijst zetten is onmogelijk: daardoor zouden ook miljoenen websites onveilig verklaard worden en wordt internet onbruikbaar.

Websites die gebruik maken van een beveiligde verbinding zouden een reserve-systeem moeten hebben voor hun certificaten: net zoals hun servers ook een reserveverbinding hebben voor stroom en internet. Zodra er iets mis is met het ene certificaat, schakel je over op het andere. Dat lost het fundamentele probleem niet op. Maar het kan overlast voorkomen.

Er gaan ook stemmen op om de consumenten meer te betrekken bij de keuze welke certificaten hij vertrouwt. Zodat de browser op de achtergrond per gebruiker een type certificaat kan uitkiezen. Maar dat vergt kennis bij de gebruiker, die er niet is.

De huidige coderingen die gebruikt worden voor het slot in de browser – een gekleurde aanduiding voor de letters https, of een groene achtergrondkleur – moeten duidelijkheid scheppen in de aard van de beveiliging. Klik op het slotje van de browser (zoals in de afbeelding ) en er verschijnen diverse details over de herkomst en kwaliteit van het certificaat en de houdbaarheid.

Het is voor een doorsnee-gebruiker te ingewikkeld om te begrijpen waarom het ene certificaat bijvoorbeeld het stempel ‘extended validation’ krijgt en het andere niet. „Ik zou het zelf niet weten”, zegt Hoepman. „Die kleurtjes zijn belachelijk en werken net zo verwarrend als die eco-keurmerken in de supermarkt.”