Kan du stole på et SSL-certifikat fra de store amerikanske udbydere? Sådan har spørgsmålet om en af grundstenene for sikker brug af internettet lydt i mange år, og med hackerangrebet mod firmaet Comodo, blev det igen aktuelt.
Læs også: Så elendig er sikkerheden bag SSL
Men der findes alternativer, som helt går uden om Verisign, Comodo og de andre store Certificate Authority-firmaer, der sprøjter certifikater ud til snart sagt alle, der vil betale. Hos den frivillige certifikatudsteder CAcert.org kan du få gratis SSL-certifikater, med en fornuftig sikkerhed, for her er 'tillidskæden' for certifikatet baseret på et netværk af fysiske møder.
Det fortæller Svenne Krap, som er selvstændig konsulent og blandt andet arbejder med netværkssikkerhed.
»Du skal mødes med flere personer, som er godkendt af CAcert til at bevidne din identitiet og vise dem to slags billed-ID. Så det kræver lidt benarbejde at få disse folk til at sige god for dig,« forklarer Svenne Krap, der også sidder i bestyrelsen for DIFO, som kontrollerer dk-domænet gennem DK-Hostmaster.
Kontrollen med, at et certifikat bliver udstedt til en rigtig person, sker altså med frivillig arbejdskraft, og samler man nok point sammen, kan man også med tiden selv stige så meget i graderne, at man i første omgang selv kan udstede certifikater til egne domæner, og senere selv blive betroet at bevidne andres identitet.
Der bliver typisk arrangeret faste mødetider, når mange it-folk er samlet, for eksempel til store konferencer, som så bliver meldt ud, men ellers kan man altid selv opsøge kontrollanterne.
Problemet med certifikater fra CAcert er dog, at browserne ikke som standard vil stole på dem. Besøgende på en webside skal selv aktivt ind og godkende CAcert's certifikatet, før dit certifikat vil blive godtaget - og derfor er det ret håbløst at bruge det til en webside med mange fremmede besøgende.
»Det er et stort problem, og derfor er CAcert ikke en permanent løsning. Men det er fint i en mindre, lukket kreds,« siger Svenne Krap.
Tre kan gå sammen om snyd
Sikkerheden ved CAcerts model vurderer han som mindst lige så god som de store amerikanske kommercielle udstedere.
»CAcert er overfølsom over for, hvis tre betroede personer går sammen om at opfinde en ny person, der ikke findes. Der er ingen anden kontrol, så på den måde kan systemet games. Men sådan et misbrug vil hurtigt betyde, at dem, der har sagt god for den fiktive person, mister deres rettigheder. Så jeg tror bestemt ikke, at sikkerheden er dårligere end med de etablerede Certificate Authorities,« siger Svenne Krap.
Dem har han nemlig ikke så meget til overs for, rent sikkerhedsmæssigt.
»Modellen med de kommercielle firmaer er ødelagt. Den har aldrig givet mening, men nu er det åbenlyst, at der er problemer. Systemets samlede sikkerhed er nemlig bestemt af den dårligste udbyder, og de dårligste tjekker nærmest kun, at de kan trække penge på det kreditkortet,« mener han.
Den bedste og nemmeste løsning er at få udbredt den sikre DNS-overbygning DNSSEC, der skruer voldsomt op for sikkerheden ved navneopslag på webservere. Når man bruger DNSSEC på sin webserver, kan besøgende være sikre på, at det er det rigtige sted, man er havnet. Og så kan oplysningerne om et SSL-certifikat i fremtiden blive serveret som en del af DNS-informationen.
»Så har man bare den offentlige del af certifikatet liggende i DNS, beskyttet af DNSSEC. Det er nemt og koster ikke noget, men det er også det, som CA-branchen ikke kan lide, for så bliver de overflødige,« siger Svenne Krap.
Lige nu er udbredelsen af DNSSEC ikke overvældende, men det kunne konceptet med SSL-certifikater i DNS være med til at lave om på, mener han.
»Den model vil også øge antallet af sikre domæner, fordi det er nemt og gratis, når man først har DNSSEC oppe at køre, og så får man en chain-of-trust hele vejen fra rodzonen på internettet,« forklarer Svenne Krap.
At al kommunikation over internettet ikke som udgangspunkt bliver krypteret, er sådan set en slem uskik, mener han.
»Mange tror ikke, at de har så mange hemmeligheder, men så bruger de gudhjælpemig det samme password til både vigtige og ikke-vigtige websider. Desuden sender man jo heller ikke følsomme oplysninger på et postkort, især ikke når der er 77 postbude undervejs, der hver især går rundt med en fotokopimaskine,« siger han.
