Het vertrouwen in SSL heeft de afgelopen weken verschillende deuken opgelopen, toch zijn er stappen die internetgebruikers zelf kunnen ondernemen. Het begon allemaal met onderzoeker Christopher Soghoian die ontdekte dat sommige certificate authorities (CAs) vervalste SSL-certificaten aan overheidsinstanties verstrekken, die daardoor via SSL versleuteld verkeer toch kunnen afluisteren.

Browser
Een ander probleem deed zich deze week voor, toen bekend werd dat er een onbekende root CA in Firefox aanwezig was. Er zijn meer dan 170 certificate authorities die SSL-certificaten uitgeven en standaard in de browser geïnstalleerd zijn. Maar hoeveel CAs heeft een gemiddelde internetgebruiker nu echt nodig? Dat vroeg Wolfgang Kandek van beveiligingsbedrijf Qualys zich af.

Hij schakelde alle CAs in zijn browser uit en schakelde ze weer in als ze nodig waren. Op de eerste dag schakelde hij acht CAs in, gevolgd door de overige zes in de paar dagen daarna. Voor de doorsnee gebruiker is dit proces te lastig, zo merkt hij op. De verantwoordelijkheid hiervoor ligt dan ook bij Microsoft, Mozilla, Google, Safari en Opera. "Browser-ontwikkelaars moeten de tools en richtlijnen aanbieden om het vertrouwen in CAs te beheren", aldus Kandek.