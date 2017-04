Certificate Authorities (CA's) hebben wat deuken in hun betrouwbaarheid opgelopen in de laatste jaren, en ook in de afgelopen maanden werd dat er niet beter op. We schreven daar al eerder over: Google vertrouwt de certificaten van Symantec niet meer en de gratis certificaten van Let's Encrypt werden misbruikt door phishers die deden alsof ze van PayPal waren.

Maar ondanks al die ellende moeten we niet vergeten dat CA's nog steeds een belangrijke rol spelen in het vertrouwen op het internet.

CA's geven verschillende soorten certificaten uit, en elk type pakt een andere beveiligingsprobleem aan. Hier geven we wat achtergrondinformatie over certificaten en online betrouwbaarheid, zodat je meer weet wat er achter de schermen gebeurt bij HTTPS - vooral nu het gratis aanbieden van certificaten door CA's het makkelijker maken om ze te bemachtigen.

Wat verschillende certificaten doen

Er zijn verschillende redenen waarom een domeineigenaar een TLS/SSL-certificaat wilt inzetten. De meest voorkomende reden is om gebruikers te mogelijkheid te geven zich ervan te verzekeren dat de site authentiek is en de eigenaar legitiem. Een andere reden is dat er een groeiende belangstelling is in het versleutelen van al het verkeer tussen de computer of mobiele apparaat van de gebruiker en de webserver die de applicatie host.

Dit zijn dan wel verschillende redenen om certificaten in te zetten, maar beide vertrouwen op HTTPS. Dat maakt het dat zowel domeineigenaren als internetgebruikers die twee nog wel eens door elkaar halen, wat weer leidt tot verdere verwarring in het vertrouwen ervan, zegt Ilia Kolochenko, CEO van websecuritybedrijf High-Tech Bridge. "We moeten het versleutelen van HTTP-verkeer en het verifiëren van de identiteit van websites goed van elkaar onderscheiden."

Er zijn drie belangrijke soorten certificaten:

Domain-validated (DV) certificaten worden vergeleken met de domeinregistratie maar vereisen geen identiteitsinformatie die onweerlegbaar bewijst dat de eigenaar ook is wie hij zegt te zijn. Het enige dat DV-certificaten de bezoekers vertellen is dat het domein dat ze denken te bezoeken ook het domein is dat in het certificaat staat vermeld. Daardoor kunnen domeineigenaren worden gespoofd, ondanks dat de site beschikt over certificaten.

Extended-validation (EV) certificaten vertellen de bezoekers dat de eigenaar van het domein dat ze bezoeken is gevalideerd en de echte eigenaar is. Om een EV-certificaat te krijgen moet de aanvrager informatie leveren die zijn identiteit bewijst, waardoor het moeilijker is om te frauderen - hoewel nog steeds niet onmogelijk.

Organization-validated (OV) certificaten verifiëren eveneens de identiteit, maar vereisen minder informatie dan EV-certificaten, dus het is makkelijker om te frauderen. Maar ze zijn niet zo algemeen gebruikt als EV-certs.

Als het vooral gaat om de authenticiteit van een website te bewijzen, zou de site een EV- of OV-certificaat moeten hebben. Daarmee weten bezoekers dat de CA bewijs heeft gekregen dat de entiteit die de certificaat heeft aangevraagd de legitieme eigenaar is.

Een bezoeker hoeft het eigenlijke certificaat niet te zien om te weten dat een website een EV- of OV-certificaat gebruikt, omdat de adresbalk in de browser de naam van de domeineigenaar laat zien naast het hangslotje. In het geval van PayPal bijvoorbeeld zie je in de meeste browsers een dicht hangslotje en de tekst 'PayPal, Inc [US]', en dan de URL van PayPal met de toevoeging HTTPS. In Internet Explorer kan je met je cursor over de naam van de domeineigenaar gaan en dat geeft dan de naam van de CA die het certificaat heeft uitgegeven.

