Het beveiligen van een website met een SSL certificaat is al jaren een must voor iedere website die met financiële of vertrouwelijke gegevens werkt. Een site met een SSL certificaat is te herkennen aan https in de adresbalk en de afbeelding van een slotje. Een certificaat had van origine twee functies:

  1. Versleutelen van gegevens zodat ze niet door derden op internet kunnen worden afgeluisterd
  2. Zekerheid geven over de identiteit van een website

Alleen is deze laatste functie echter al jaren aan erosie onderhevig. Oorspronkelijk (men betaalde nog met guldens) was het aanvragen van een certificaat een ingewikkeld proces, waarbij vele telefoontjes en speurwerk de identiteit van de organisatie moesten vaststellen. Een eerste afbreuk op deze identiteitsgarantie ontstond doordat leveranciers, onder (prijs-) druk van de markt, langzaam maar zeker de regels versoepelden waardoor het speurwerk verviel. In plaats daarvan werd een controle van het domeineigendom ingesteld (email verificatie). Dit was een belangrijke afbreuk van het systeem: opeens was het mogelijk om https://betalen.rab0bank.nl aan te vragen (mind the typo), want niemand checkte meer of je wel echt van de Rabobank was. Ook al bleef de versleuteling in tact, het identiteitsgarantie van een SSL site nam hiermee significant af.

Een verdere afbreuk op de functie “zekerheid geven over de identiteit van de website” kwam door een ontwikkeling in 2005; enkele SSL leveranciers schoven de verantwoordelijkheid voor de controle op domeineigendom naar hun wederverkopers. Er werd echter niet gecontroleerd of de wederverkopers zich hieraan hielden. Effectief verviel hiermee de controle op domeineigendom, en dus het laatste restje identiteitsgarantie dat een SSL certificaat nog bood. Immers, iedereen kan nu https://betalen.rabobank.nl aanvragen. Het is een kwestie van een DNS truc om mensen naar jouw fake bankensite te lokken, en zelfs de meest savvy internetgebruikers zullen geen verschil zien tussen de echte en de neppe betaalsite. Voor de critici die menen dat het zo’n vaart niet zal lopen: het is een fluitje van een cent om van buiten in te loggen op niet-beveiligde ADSL modems (zo’n 10%) en de DNS servers te wijzigen.

De oorspronkelijke eerste versie van SSL is dus vandaag de dag alleen nog maar nuttig om gegevens te versleutelen. Omdat inmiddels het probleem van phishing steeds groter is geworden, is er vorig jaar een nieuwe vorm van SSL bedacht: EV-SSL (Extended Verification). Deze certificaten (en identificatiegaranties) zijn vergelijkbaar met de certificaten van eind jaren 90 en vervullen weer beide functies. Ze zijn te herkennen aan een groene balk in de browser. Voor de aanvraag wordt oa. de kamer van koophandel, contracten met telefoonmaatschappijen en dergelijke gecontroleerd.

Bezoekt u een site met een groene balk, dan weet u dus zeker met wie u zaken doet!

Inmiddels ondersteunen alle gangbare browsers EV-SSL. U kunt bij Byte een EV-SSL certificaat voor uw site bestellen.

De groene balk

 

Scan je eigen Magento shop op veiligheidslekken