Vertrouwen in veilige internetverbindingen ondermijnd

Voor banken kun je daar nog wel op vertrouwen, maar het slotje en het voorvoegsel https geven geen absolute garantie voor alle sites die je bezoekt. Want van de certificaten die daarbij gebruikt worden, de Secure Socket Layer-certificaten, zijn er tienduizenden in omloop die tegen de regels en kennelijk zonder grondige check zijn uitgegeven. Dat concludeert de Electronic Frontier Foundation uit zijn SSL Observatory Project.

Generieke namen in principe wel, in de praktijk niet verboden
Volgens de regels zouden certifcatie-autoriteiten (CA's) geen certificaten moeten uitgeven voor generieke namen, zoals localhost. Dergelijke namen verwijzen op verschillende netwerken niet naar dezelfde bron. Toch geven de CA’s dergelijke certificaten wel degelijk uit, kennelijk op verzoek van bedrijven die hun medewerkers een eenvoudige manier willen bieden om een intranet of mailsysteem in de browser op te roepen.

De EFF vond er een kleine 40.000 van; de grootste portie daarvan bestond uit varianten van exchange, de veelgebruikte mailserver van Microsoft. Ook localhost kwam veel voor. Sommige CA’s letten zo goed op dat ze - tegen alle regels - meerdere malen een certificaat voor localhost hebben verstrekt, merkt de EFF op.

Malafide opzetjes denkbaar
Deze registraties zijn wellicht onschuldig, maar er zijn ook malafide opzetjes denkbaar. Als een cybercrimineel een certificaat weet te bemachtigen voor mail of webmail, zijn heel vervelende situaties denkbaar. De EFF heeft daar nog geen voorbeelden van gevonden. Maar de constatering dat de CA’s zich niet aan de regels houden en generieke registraties accepteren, is op zich al ernstig genoeg.

Net zo vervelend is een tweede constatering van de EFF. CA’s accepteren ook registraties die niet naar een geldig topdomein verwijzen of zelfs geen geldige naam in het Domain Name System zijn. Deze webadressen verwijzen daardoor op dit moment niet door naar een site. Maar het Internet Committee for Assigned Names and Numbers (ICANN) overweegt sterk om nieuwe topdomeinen toe te voegen. In dat geval bestaan er in een aantal gevallen – zoals .priv, .public en .nyc (voor New York City) – al webadressen die gecertificeerd echt zijn, zonder dat duidelijk is wie de aanvrager c.q. exploitant is, en of die te goeder trouw is.

Vertrouwen in het geding
Deze slordigheid - of dit eigenmachtig optreden - van certificerende instanties ondergraaft het systeem dat de veiligheid op internet moet borgen. Want de functie van de certificaten is nu juist de websurfer te garanderen dat ze belanden op de site van de organisatie waar ze contact mee zoeken. Dat mechanisme berust niet op een of ander technisch hoogstandje, maar op het vertrouwen in de certificerende instanties. Als die hun werk niet allemaal goed doen, zijn problemen niet ver weg. En met tegenwoordig 650 instanties die betrokken zijn bij de goedkeuring van certificaten, wordt dat een prangende vraag.

Dat er kwetsbaarheden in de opzet schuilen, werd onlangs overigens ook bewezen door een geslaagde nepaanvraag voor certificaten voor Gmail en Skype bij een partner van CA Comodo. Waarschijnlijk via een hack van de systemen van deze CA werden toen certificaten uitgereikt aan een persoon of instantie die niets met Google of Skype te maken had.