Voor het uitwisselen van informatie vertrouwen consumenten en bedrijven op encryptie en certificaten, maar de manier waarop Firefox 3 hiermee omgaat is voor verbetering vatbaar. Met Firefox 3 paste Mozilla de verwerking van certificaten aan, wat de gebruiker niet altijd ten goede komt. Er is gelukkig een aantal oplossingen die ook nog eens meer bescherming bieden. Tot en met Firefox 2 toonde de browser in de adresbalk een gouden slotje bij het bezoeken van een HTTPS site. Iets wat moeilijk over het hoofd te zien was.
Sinds de komst van Firefox 3 heeft Mozilla de aandacht verschoven naar "Extended Validation Certificates", die meer zekerheid moeten bieden omdat de identiteit achter de website grondiger gecontroleerd is. De certificaten verschillen niet veel van normale certificaten, en worden mede vanwege de hoge prijs, door weinig websites gebruikt. Ondanks het grote aandeel van normale SSL-certificaten, gaat Firefox 3 hier niet goed mee om. Het gouden slotje is door een blauw frame rond het favicon vervangen, wat niet alleen onduidelijk is, maar ook eenvoudig te vervalsen. Om dit iets duidelijker te maken kunnen Firefox-gebruikers in "about:config" de waarde van de sleutel browser.identity.ssl_domain_display van 0 naar 1 veranderen. Dit maakt HTTPS sites iets beter herkenbaar.
Zelfgemaakte certificaten
Een ander probleem dat voor verwarring kan zorgen zijn de waarschuwingen bij HTTPS sites die wel over een geldig certificaat beschikken, maar geen extra bedrag aan Verisign hebben betaald. Hierdoor verschijnen waarschuwingen als "this website does not supply identity information", terwijl het certificaat gewoon geldig en gecontroleerd is.
Het probleem wordt nog groter bij zelfgemaakte certificaten. Firefox slaat in deze gevallen alarm en geeft gebruikers de mogelijkheid om de website te verlaten of een uitzondering toe te voegen. Wie echter de fingerprint van de key wil controleren krijgt hier niet de kans toe, omdat het certificaatscherm voor het browservenster zit. Verder blijkt het systeem van Firefox om certificaten terug te roepen, niet te werken.
Drie stappen
Het Duitse computermagazine C'T beschrijft in dit artikel drie tips om toch veilig online te shoppen. Ten eerste moeten gebruikers een SSL Blacklist met lokale Blacklist database installeren, gevolgd door installatie van de Perspectives plugin en het automatisch overslaan van security waarschuwingen uitschakelen. Dit laat gebruikers aanvullende informatie over certificaatfoutmeldingen vinden. De laatste tip bestaat uit het duidelijker herkenbaar maken van SSL sites. "Dit alles moet gecombineerd worden met een gezonde dosis wantrouwen, zeker als dingen te mooi lijken om waar te zijn."
Deze posting is gelocked. Reageren is niet meer mogelijk.