De meeste online consumenten kijken bij het winkelen naar het 'gouden slotje' omdat ze is aangeleerd dat dit veilig is, maar hoe kun je dit nu zeker weten? Dat kun je doen door te kijken naar de uitgever van het certificaat, de zogeheten Certificaat Autoriteit. Maar wat als een website zijn eigen certificaat uitgeeft en ondertekent? Technisch is dit geen probleem, maar kun je de uitgever dan wel vertrouwen?
"Ik gebruik zelf-ondertekende certificaten altijd voor hobby-projecten en interne webservers van mijn bedrijf, maar als ik een miljardenbedrijf zou zijn, zou ik de tweeduizend dollar voor een Verisign certificaat wel kunnen betalen. Het gaat uiteindelijk om een vertrouwenszaak," zegt 'El Di Pablo', die doelt op Microsoft. De softwaregigant blijkt haar eigen certificaten te ondertekenen en dat is geen goede zaak. "Vertrouw ik jouw zelf-ondertekend certificaat? Zeker weten van niet! Vertrouw ik die van mij? Ja. Vertrouw ik Microsoft's zelf-ondertekende certificaten? Geen idee. Hoe kan ik weten dat iemand niet de DNS heeft vergiftigd en mij naar een phishingsite doorstuurt?"
Volgens Di Pablo is het probleem met zelf-ondertekende certificaten dat iedereen er eentje kan maken en aan zichzelf kan toekennen. "De reden dat er een publiekelijk betrouwbare Certificaat Autoriteit zoals Verisign is om websites te identificeren, is juist een van de voornaamste redenen dat er SSL-certificaten zijn."
Microsoft lijkt door het zelf ondertekenen van certificaten haar eigen advies te negeren. "U kunt op verschillende manieren een servercertificaat verkrijgen. U kunt een zelfondertekend certificaat genereren, een certificaat aanschaffen bij een externe CA van derden, of u kunt een certificaat aanvragen bij een interne domein-CA. Van deze drie opties zijn zelfondertekende certificaten het minst veilig. Een dergelijk certificaat mag alleen worden gebruikt voor het testen of oplossen van problemen met toepassingen die HTTPS gebruiken."
Deze posting is gelocked. Reageren is niet meer mogelijk.