Uitgifte van SSL-certificaten; het is zo makkelijk nog niet.

Gisteravond berichtten verschillende media dat de Iraanse regering Gmail af zou tappen. Opvallend aan dit bericht was, dat dit werd mogelijk gemaakt door een SSL-certificaat dat door DigiNotar (een Nederlandse dochteronderneming van VASCO) is uitgegeven. In deze blog ga ik niet in op de technische details; hoe tapt Iran Gmail via DigiNotar af. Wat ik als ICT-jurist interessant vind aan dit verhaal zijn de juridische processen die aan de uitgifte van zo’n SSL-certificaat vooraf gaan. Daar wil ik in deze blog kort op in gaan.

Een SSL-certificaat zorgt voor de beveiliging van het internetverkeer. Naast deze functie om de integriteit van gegevens te waarborgen, heeft het SSL-certificaat ook een functie om de identiteit van een website (domeinnaam) kenbaar te maken. Zo weet de internetter of hij ook daadwerkelijk met de juiste partij te maken heeft en niet met bijvoorbeeld de Iraanse regering.

Alles valt of staat dus met de uitgifte van het SSL-certificaat. Je mag als certificatiedienstverlener niet zomaar SSL-certificaten aan partijen verstrekken. Daar zijn strikte procedures aan verbonden. Zo worden voor uitgifte van een certificaat alle (bedrijfs)gegevens van de aanvrager gecontroleerd. Dit noemt men in certificaatland; de validatie. Daarnaast worden de certificaten uitgegeven via gecertificeerde systemen. Dit alles om te voorkomen dat er valse certificaten in omloop komen. Als je namelijk niet meer op een SSL-certificaat kan vertrouwen; welke waarde heeft zo’n certificaat dan nog? Er zijn honderden partijen die SSL-certificaten uitgeven en er hoeft maar een partij een verkeerd certificaat uit te geven en de het systeem verliest z’n vertrouwen.

De komende tijd zal moeten worden bekeken hoe groot de schade is. DigiNotar zal het vertrouwen in de uitgifte van SSL-certificaten moeten herstellen. Dit geldt niet alleen voor DigiNotar. De hele SSL-industie zal mee moeten werken aan het vertrouwensherstel. Wie zegt dat de andere SSL-certificaten wel goed zijn uitgegeven? En wat gaan de webbrowsers doen? Zij hebben de macht om certificatiedienstverleners niet langer toe te laten. Naar mijn mening is met dit voorval bewezen dat het certificeren van certificatiedienstverleners niet goed werkt. Een aparte organisatie, die alle certificatiedienstverleners toetst, en de nodige specialistische technische kennis in huis heeft, lijkt me een vereiste.

Update (30/8): Mozilla laat DigiNotar niet langer toe tot haar browser.

Terug naar overzicht