Een betaald tls-certificaat voor het opzetten van een beveiligde verbinding tussen websites en bezoekers is niet beter dan een gratis tls-certificaat, zo stelt beveiligingsonderzoeker Scott Helme op basis van technische feiten. Tls-certificaten worden door certificaatautoriteiten uitgegeven en zorgen ervoor dat websites via https te bereiken zijn.
Jarenlang moesten eigenaren van websites voor tls-certificaten betalen. Iets dat in 2016 veranderde met de komst van Let's Encrypt, een certificaatautoriteit die gratis tls-certificaten uitgeeft en ervoor zorgt dat ze makkelijk te installeren zijn. Onlangs werd bekend dat Let's Encrypt de 50 miljoen actieve certificaten is gepasseerd. De certificaatautoriteit is ook medeverantwoordelijk voor de groei van het aantal https-sites.
Er zijn echter partijen die claimen dat betaalde certificaten beter zijn dan gratis certificaten zoals die van Let's Encrypt. Helme merkt op dat alle certificaten die door een certificaatautoriteit worden uitgegeven aan de Baseline Requirements van het CA/Browser Forum moeten voldoen. Dit is een consortium van certificaatautoriteiten en softwareontwikkelaars die regels voor certificaten opstellen.
De Baseline Requirements beschrijven wat een certificaatautoriteit moet doen om de eigenaar van een domein te valideren, hoe lang certificaten geldig mogen zijn en tal van andere zaken waar tijdens de uitgifte aan moet worden voldaan. "Alle publiek vertrouwde certificaten moeten aan deze eisen voldoen", aldus de onderzoeker. Hij merkt op dat er vaak gezegd wordt dat certificaten impact op de encryptie van de versleutelde verbinding hebben. Dat is echter niet het geval. "Certificaten hebben niets te maken met de versleuteling van de data die je verstuurt", gaat Helme verder.
De kritiek op gratis certificaten is met name afkomstig van partijen die zelf certificaten verkopen. Voor de browser, die uiteindelijk bepaalt of een certificaat wordt vertrouwd, is er echter geen verschil tussen betaald of gratis. "Het enige dat telt als we naar een certificaat kijken is of de browser het vertrouwt of niet en of het certificaat geldig is", zegt Helme. Om geldig te zijn moet een certificaat aan verschillende technische eisen voldoen. "Of iemand voor het certificaat heeft betaald of niet maakt geen klap uit. De browser weet dit niet eens en hoeft dit ook niet te weten. Er is absoluut geen verschil tussen een gratis certificaat en één waarvoor je moest betalen", besluit de onderzoeker.
Deze posting is gelocked. Reageren is niet meer mogelijk.