De Amerikaanse overheid wil piratensites met een versleutelde verbinding bestrijden door hun certificaten te weigeren. Dit is volgens Nederlandse SSL-certificeerders niet te doen.

Nederlandse verstrekkers van SSL-certificaten zien het niet als hun taak om te kijken naar de inhoud van websites waaraan zij SSL-certificaten verstrekken. Naast domeinvalidatie, die naar gelang van het certificaat eenvoudig of uitgebreid wordt uitgevoerd, lossen verdere identiteitscontroles weinig op. Bovendien menen de verstrekkers van de beveiligingscertificaten dat zij niet de competenties huis te hebben om te checken of aangeboden producten of content namaak dan wel illegaal gekopieerd zijn.

VS: 'Aanbieders moeten doorlichten'

De Amerikaanse Immigratie- en Douanedienst ICE stelde vorige week dat aanbieders van SSL-certificaten bedrijven achter websites voortaan moeten doorlichten. Dat moet dan gebeuren aan de hand van verschillende identiteitscontroles. Aanleiding voor dit voorstel is een actie waarbij 70 websites uit de lucht zijn gehaald, waarbij bleek dat een deel van die piratensites een SSL-certificaat had.

Dat oplichters op aanvraag een SSL-certificaat kunnen krijgen, net als ieder ander, verbaast Maarten Bremer van SSL-certificatenaanbieder Xolphin niets. "Als je eigenaar bent van een domein, dan kun je voor dit domein een certificaat aanvragen en wordt er een beveiligde verbinding gebruikt. Wat er inhoudelijk op de website gebeurt, heeft niets met het SSL-certificaat te maken."

Domeinvalidatie is simpel
De controle die bij de certificaten met enkel domeinvalidatie wordt uitgevoerd, is simpel. Of er wordt op de website een bestand geplaatst met een code. Of er wordt een unieke code gemaild naar een standaard e-mailadres; zoals webmaster@ of hostmaster@, of één van de adressen uit de Whois-database voor het betreffende domein. "Het probleem is dat elke aanvrager zo'n certificaat voor zijn domein kan aanvragen, als het maar zijn eigen domein is. Naar de inhoud wordt niet gekeken", aldus Bremer.

Die controlefunctie is ook niet de taak van de SSL-aanbieders, vinden zij. Een legale website kan altijd zijn inhoud veranderen. Volgens Bremer blijft dit een momentopname. Algemeen directeur Lex Samuel van QuoVadis, naast SSL-aanbieder tevens een van de gemachtigde uitgevers van PKIoverheid, vindt niet dat de aanbieders er zijn om te zeggen of iets wel of niet een legitiem verhaal is.

Herleiden tot natuurlijk persoon
"Welke competenties hebben wij om te checken of iets namaak is? Het enige wat wij kunnen doen is voor een versleutelde, veilige verbinding zorgen. Daarbij herleiden wij een website altijd terug tot een natuurlijk persoon. Er is verificatie via de Kamer van Koophandel, waarbij gecontroleerd wordt hoe lang een bedrijf bestaat en ook moet een bestuurder komen tekenen", legt Samuel uit aan Webwereld.

Hierbij doelt hij op Extended Validation SSL (EV SSL) waarbij bezoekers van websites met die extra controle naast https in de url ook een groene browseradresbalk en slotje zien. Het verbaast hem dat er zo weinig aandacht wordt besteed aan het gebruik daarvan. Samuel: "Mensen kijken alleen naar het slotje, in plaats van dat zij er ook op klikken en de achterliggende informatie checken en zo zien of het echt veilig is."

Centraal orgaan moet controleren
SSL-certificering staat sinds de affaire rond certificaatautoriteit DigiNotar overal ter wereld onder druk. In de ogen van Bremer is er nog toekomst. "Er zijn een aantal nieuwe ontwikkelingen gaande zoals DNSSEC, maar wij verwachten dat deze vooral aanvullend zullen zijn en dat ze SSL in ieder geval in de komende jaren niet zullen vervangen".

Een centraal orgaan dat certificaatautoriteiten (CA's) op de juiste wijze controleert, zou Bremer graag zien. "Wij vinden dat het huidige CAB Forum een meer controlerende positie moet krijgen en dat het een verplichting moet zijn om te handelen volgens hun richtlijnen. Momenteel zijn er helaas certificaatautoriteiten die zich niet houden aan de richtlijnen van dit CAB Forum."

Op de website van aanbieder DigiCert een overzicht van de groene adresbalk in verschillende browsers: