Effect nieuwe beveiliging websites onzeker
Banken en elektronische winkels maken al jaren gebruik van Secure Socket Layer (SSL)-certificaten voor het beveiligen van de verbinding. Gebruikers van zo’n site moeten zelf de authenticiteit controleren.
De gezamenlijke banken dringen hier sinds kort op aan in de campagne ‘3 x kloppen’. Kenmerken zijn onder meer het slotje onder in het browservenster en https in plaats van http in de URL-balk. Inmiddels is een nieuwe versie van dit certificaat geïntroduceerd, de Extended Validated SSL (EV SSL). De bezoeker van de website merkt deze verandering doordat de URL-balk een groene kleur krijgt.
Overigens is nu alleen Internet Explorer versie 7 in staat de functionaliteit van EV SSL te ondersteunen. Firefox en Opera hebben wel een EV-SSL compatibele versie op stapel staan. Registrars die deze nieuwe certificaten uitgeven, zijn verplicht een veel diepgravender onderzoek te doen naar de aanvrager dan bij standaard SSL-certificaten. Bezoekers van de site krijgen door op het slotje in het browservenster te klikken een samenvatting van deze gegevens in een pop-upschermpje te zien. Door het aanklikken van een link komt meer informatie over de aanvrager beschikbaar.
DigiNotar verstrekte in augustus het eerste EV SSL-certificaat uit aan PolisDirect. Inmiddels is de aanvraagprocedure helemaal uitgewerkt en online beschikbaar. Verschillende aanvragen, onder meer van een aantal banken, zijn in behandeling, zegt een woordvoerster van DigiNotar.
De certificatenuitgevers worden op hun beurt weer gecontroleerd door CA/Browserforum, een gezamenlijk initiatief van registrars en browsersoftwaremakers. Tot nog toe is in Nederland alleen DigiNotar gemachtigd de certificaten uit te geven.
Een EV-certificaat is vanwege de extra controles duurder dan een standaard SSL-certificaat. De prijzen lopen fors uiteen. Een standaard SSL kost bijvoorbeeld bij de Amerikaanse registrar Entrust 150 dollar. Voor een EV-SSL moet 499 dollar worden neergeteld. DigiNotar rekent respectievelijk 275 en 399 euro.
Er zijn registrars die voor een EV SSL-certificaat wel 1300 dollar vragen. Voor banken en financiële instellingen zal dit geen probleem zijn maar de prijsverhoging kan voor de kleine webwinkeltjes een argument zijn het hogere beveiligingsniveau niet te gebruiken.
Een onderzoek van Stanford University en Microsoft, gepubliceerd op de Usable Security (USEC2007)-beurs in februari, geeft aan dat het inzetten van de EV-SSL niet automatisch leidt tot beter bewustzijn bij de websurfers.
De kleur van de URL-adresbalk bleek zowel in de getrainde als ongetrainde groep niet gebruikt bij het beoordelen van de website. Ook bleek er geen verschil tussen de controlegroep en de ongetrainde groep in het ontmaskeren van phishingsites. De getrainde groep bleek zelfs meer geneigd zowel authentieke sites als criminele lookalikes als legitiem te beoordelen. De onderzoekers verklaren deze discrepantie uit het feit dat de helpfile van Internet Explorer 7 de suggestie wekt dat de browser bij elke phishingsite een waarschuwing geeft. Dat is echter niet zo.
De DigiNotar-woordvoerster verwacht dat wanneer meer sites de EV SSL-beveiliging gebruiken, websurfers meer gewend raken aan het controleren op de groene kleur van de URL-balk.