De gratis SSL-dienst Let's Encrypt, waar straks iedereen een gratis SSL-certificaat voor zijn of haar website kan aanvragen, gaat voorlopig geen certificaten aan bekende malware- en phishingsites uitgeven. Let's Encrypt heeft als doel om het gehele web via een versleutelde verbinding te laten lopen.
Critici zijn bang dat criminelen van het initiatief gebruik zullen maken om voor hun phishingsites SSL-certificaten aan te vragen. Dit zou de phishingsites legitiem laten lijken, omdat ze over een "slotje" in de adresbalk beschikken. Consumenten zijn de afgelopen jaren altijd verteld om op de aanwezigheid van het slot-icoon te controleren. Volgens Let's Encrypt moet een SSL-certificaat niet als een vorm van goedkeuring worden gezien. Certificaatautoriteiten (CA), de partijen die de SSL-certificaten uitgeven, zijn namelijk niet goed uitgerust om zich met de bestrijding van phishing en malware bezig te houden.
Partijen als Google en Microsoft zijn hier volgens Let's Encrypt beter voor geschikt, omdat ze meer zicht op het ecosysteem hebben. Gebruikers zijn dan ook beter af met de anti-phishing en anti-malwarefilters die browsers bieden. Daarnaast moet een SSL-certificaat niet als bijzonder worden gezien, aldus de gratis certificaatautoriteit. "HTTPS is voor bijna alle websites belangrijk", aldus de organisatie. De aanwezigheid van een SSL-certificaat moet dan ook niet als uitzondering worden gezien, maar zou juist standaard moeten zijn.
Om aan de zorgen van critici tegemoet te komen gaat Let's Encrypt voorlopig de Google Safe Browsing API gebruiken. Dit is een database van Google bestaande uit allerlei malware- en phishingsites. Websites in deze database zullen van Let's Encrypt geen certificaat ontvangen. De reden om deze maatregel door te voeren is dat veel mensen het nog geen fijn idee vinden dat een certificaatautoriteit zich helemaal niet meer met de bestrijding van malware of phishing bezighoudt, zo stelt Josh Aas, directeur van de Internet Security Research Group (ISRG). Let's Encrypt is een initiatief van het ISRG.
Deze posting is gelocked. Reageren is niet meer mogelijk.