Google Chrome geeft tegenwoordig bij https-sites de melding "Veilig" in de adresbalk weer, maar dat is niet altijd terecht, zo stelt beveiligingsbedrijf Wordfence. De eerste kritiek van onderzoeker Mark Maunder is dat de melding ook bij phishingsites wordt gegeven die over een geldig ssl-certificaat beschikken.
Zo werd onlangs bekend dat de gratis ssl-verstrekker Let's Encrypt alleen voor PayPal-phishingsites zo'n 15.000 certificaten had uitgegeven. Gebruikers zouden zo kunnen denken dat de website waar ze op zitten veilig is. Een ander kritiekpunt is dat als een certificaatautoriteit een onterecht uitgegeven certificaat intrekt, Chrome nog steeds de melding "Veilig" weergeeft. Alleen via de Chrome-developertools is te zien dat het certificaat is ingetrokken.
Daarnaast kan het enige tijd duren voordat kwaadaardige websites die over een geldig ssl-certificaat beschikken op de blacklist van Chrome verschijnen en gebruikers een waarschuwing krijgen. In de tussentijd verschijnt er nog steeds de melding "Veilig" bij deze websites. Volgens Maunder kan de safebrowsinglijst die Google hanteert dan ook niet als back-upmechanisme worden gebruikt om gebruikers tegen kwaadaardige websites met geldige ssl-certificaten te beschermen. Internetgebruikers krijgen dan ook het advies om altijd de hostnaam in de adresbalk te controleren.
"Ik denk niet dat de melding "Veilig" in de adresbalk van Chrome goed genoeg is. Het Chrome-team zou een schaal moeten overwegen die rekening houdt met wie de certificaatautoriteit is, hoeveel domeinen hetzelfde certificaat delen en de leeftijd van een domein en diens certificaat. Er zijn andere kenmerken die je waarschijnlijk kunt gebruiken om een veiligheidsscore te berekenen, in plaats van alleen een binaire "Veilig" of "Niet veilig" melding voor websites", aldus Maunder.
Deze posting is gelocked. Reageren is niet meer mogelijk.