Er zijn erg veel soorten certificaten in omloop en niet ieder certificaat wordt evengoed ondersteund door alle browsers en niet ieder certificaat waarborgt de indentiteit van de website even goed. Dit artikel gaat in op een paar recente issues over de veiligheid van certificaten en legt uit wat de verschillen tussen de verschillende types certificaten zijn.

sec_error_unknown_issuer in Firefox

Er zijn een groot aantal websites op het internet met een met SSL-beveiligd subdomein waarbij u toch een veiligheidswaarschuwing te zien krijgt. In Firefox verschijnt er een pictogram van een agent met de error sec_error_unknown_issuer en in Internet Explorer wordt in dit geval uw browser window rood en ziet u een rood schild met de mededeling dat er iets mis is met het veiligheidscertificaat van de website.

Dit betekent dat de browser de uitgever van het certificaat niet herkent omdat dit bedrijf niet is opgenomen in de standaardlijst van geautoriseerde uitgevers. Dit kan voorkomen door het niet goed installeren van Root- en Intermediate-certificaten op de server of door het gebruiken van een betaversie van Firefox waarbij niet alle Rootcertificaten er goed in staan.

Wij dachten eerst dat de sec_error_unknown_issuer bij Firefox een structureel probleem met Comodo certificaten was, maar door een gesprek met Maarten Bremer van Xolphin werd dit gelukkig ontkracht.

Certificaten in het nieuws

Er zijn de laatste tijd 2 issues in het nieuws geweest:
1. Er is een ongeldig certificaat uitgegeven voor Mozilla.com (dec 2008).
Een reseller van Comodo heeft zonder noemenswaardige validatie van de aanvrager of de website een SSL certificaat uitgegeven. Dit is ernstig aangezien een deel van het vertouwen komt door verificatie van de eigenaar van het certificaat.
https://blog.startcom.org/?p=145
http://www.security.nl/artikel/25884/1/Ongeldig_SSL-certificaat_voor_Mozilla.com_uitgegeven.html

2. Het MD5-algoritme dat gebruikt werd door veel certificaten bleek onbetrouwbaar te zijn (dec 2008).
Door gebruik te maken van een zwakte in het MD5 versleutelingsalgoritme – dezelfde MD5 tekenreeks kan gemaakt worden uit verschillende bronnen (een ‘collision’ of botsing) – zijn er valse SSL-certificaten gemaakt. De meeste aanbieders van SSL certificaten zijn direct gestopt met het uitgeven van certificaten waarbij de digitale handtekening met behulp van MD5 verleuteling wordt gegenereerd.

Om te checken welk algorithme het certificaat gebuikt kunt u klikken op het ‘slotje’ > view certificate > details > certificate signature algorithm.

http://www.nucia.eu/forum/showthread.php?t=44530
http://www.win.tue.nl/hashclash/rogue-ca/

Het ene certificaat is het andere niet

Een belangrijk deel van het vertrouwen in de validiteit van een SSL-certificaat is de verificatie van de aanvrager door de aanbieder. Het dient dan ook aanbeveling om een certificaat aan te schaffen waar een degelijke verificatieprocedure aan vast zit. Er worden grofweg 3 soorten SSL-certificaten aangeboden:

• Weinig validatie: goedkope Comodo en RapidSSL certificaten (< EUR 60).
  Hierbij wordt voor verificatie van de afnemer gebruik gemaakt van het vaststellen van de domeinnaamhouder door een e-mail te sturen aan het whoiscontact waarop de aanvraag kan worden bevestigd. Het is niet mogelijk om in deze vertificaten de bedrijfsnaam op te nemen.
• Standaardvalidatie: Comodo, Thawte en Verisign (tussen EUR 60 en 300)
  De validatie verschilt erg, naast de domeinnaamhouder worden ook de bedrijfsgegevens gecontroleerd. Dit kan worden gecontroleerd doordat de uitgever van het vertificaat gaat bellen, een fax vraag of bedrijfsgegevens wil zien (KvK).
• Uitgebreide Validatie (EV): Comodo Thawte en Verisign (vanaf EUR 450)
  Validatie van de aanvrager wordt gedaan volgens de strenge eisen van het CAB forum (http://www.cabforum.org/). Een vertrouwenswekkend aspect is dat in moderne browsers de adresbalk groen kleurt en dat de bedrijfsnaam in de adresbalk te zien is.

Wanneer de veiligheid van de shop of site erg belangrijk voor u is dan is een (toch wel duur) Extended Validation (EV) certificaat (rond de EUR 500 per jaar) misschien toch een goede optie. Er zit een gedegen verificatieprocedure in het aanvraagtraject van zo’n certificaat en op het moment dat er iets aan de hand zou zijn met het certificaat kunt u het direct ongeldig laten verklaren. Voor normale certificaten die teruggetrokken worden, kan het totdat het certificaat verloopt of een nieuwe revocation-list wordt gepubliceerd door de uitgevers duren voor deze ongeldig wordt verklaard.

Wij raden aan geen certificaten te nemen in de ‘Weinig Validatie’-klasse voor een webshop of als aanbieder van diensten waar persoonsgevens van consumenten bij betrokken zijn. Deze zijn wel goed te gebruiken om een e-mailserver mee te beveiligen.

Een gemiddelde webshop of controlpanel- en backend-login zouden wij adviseren om een certificaat te nemen in de ‘Standaardvalidatie’ klasse (Thawte EUR 125).

Wanneer u een veelbezochte webshop heeft of veel met persoonsgegeven te maken heeft raden we u aan om te gaan voor de hoogste klasse in SSL-certificaten en een Extended Validation (EV-) certificaat af te nemen.