QWAC Certifikater? Nej, må jeg bede om et digitalt P-nummer!

Internettet er nu raskt på vej mod de 50 år. I de første 25 år skete udviklingen primært af militære og forskningsmæssige hensyn. Men ambitionerne med hensyn til skalérbarhed var høje, og med intelligente netværksprotokoller og det distribuerede Domain Name System (DNS) har den tekniske infrastruktur kunnet følge med til de seneste årtiers eksplosive udvikling i brugerantal, applikationer og trafik.

Anderledes gik det i forbindelse med opfindelsen af World Wide Web for cirka 25 år siden. Man talte om den globale landsby, hvor virksomheder og forbrugere frit kunne finde og handle med hinanden. Man undlod blot at definere mekanismer, der på tilsvarende skalérbar måde som i den tekniske infrastruktur ville gøre det muligt for virksomheder at udstille deres tjenester over for forbrugere. For hvorfor gøre det, når der hurtigt opstod søgemaskiner som Altavista og senere Google, samt markedspladser som Amazon? De virkede jo fint og gratis eller billigt for både sælgere og købere i en lang årrække, hvor antallet af virksomheder på nettet var overskueligt.

Denne manglende retttidige omhu med hensyn til at sikre basal identitetshåndtering og "service discovery" på applikationsniveau har imidlertid nu ført til eskalerende markedsførings-omkostninger, trusler mod privatlivets fred og medie-krise p.g.a. bannerblokering. Det tager jeg op i mit næste blogindlæg. For en forudsætning for, at man på entydig vis kan "opdage" en virksomhed og dens tjenester, er at den har en identitet. Så lad os starte med at se på hvordan vi i dag håndterer - eller måske snarere har forsømt at håndtere - online virksomhedsidentitet.

Varemærkelovgivningen er i dag den primære årsag til at man i et vist omfang kan stole på at man handler med firmaet Elgiganten A/S på adressen elgiganten.dk, med Coop Danmark A/S på coop.dk, og kan administrere sit danske NemID på nemid.dk (eller kan man?). Det er praktisk, men altså desværre ikke uden undtagelser og dermed ikke nogen egentlig sikkerhedsmekanisme mod phishing-relaterede angreb.

Bedre bliver det ikke ved at mange danske virksomheder med internationale ambitioner har valgt at kaste sig ud i ICANNs slaraffenland på nu over 1000 top level domæner. Herved forsvinder en del af rationalet for DK-hostmasters ønske om at holde særlig justits med lige netop DK-domænet. Ligesom det giver mere mening at kunne stole på virksomheden DK-Hostmaster A/S end at stole på adressen "Kalvebod Brygge 45", er det mere relevant at kunne stole på Dansk Supermarked A/S som virksomhed end at stole på om én af dens mange adresser lige er netto.dk, netto.nu eller netto.com.

EV og QWAC certifikater - hvorfor og hvorfor ikke

Til dette formål har man i brancheorganisationen CABforum udviklet certifikat-typer, hvor der i forbindelse med udstedelsen sker en identitetsvalidering af virksomheden bag tjenesten. CAB-forums EV-certifikater, der giver grøn farve i browsernes adresselinie, bliver snart suppleret af EU's ny, men meget tilsvarende QWAC certifikater. EU står klar med en række markedsføringstiltag udtænkt af organisationen ENISA, som har haft mere end almindeligt svært ved at finde reelle sikkerhedsmæssige fordele ved QWAC certifikater i forhold til EV-certifikater. Så muligvis vil de ny QWAC certifikater blot at øge forbrugernes forvirring med flere varianter af farvede og skraverede hængelåse i deres browsere. Det kommer oven i de problemer og begrænsninger, der allerede er kendt fra EV certifikater:

  • Dyre og tidskrævende at anskaffe, da valideringen kan kræve involvering af flere mellemmænd, herunder advokater eller lokale agenter udover selve den valgte Certification Authority (CA)
  • Enhver CA kan udstede certifikater på vegne af enhver virksomhed , hvilket ofte fører til udstedelse af falske certifikater til diverse typer kriminelle
  • Informationen i et EV-certifikat er utilstrækkelig til at en almindelig forbruger kan vurdere om der er tale om en legitim virksomhed og ikke en til formålet oprettet svindelvirksomhed med et permutteret navn eller i en anden jurisdiktion. Problemet bliver ikke mindre af at der ikke stilles krav om at oplysningerne i certifikatet stemmer overens med WHOIS oplysningerne for domæne-registranten.
  • Oplysningerne i certifikatet er statiske i dets levetid på typisk 2 år. Ændringer der sker i løbet af denne periode reflekteres ikke, selvom det kunne være f.eks. ophør eller konkurs.
  • Certifikater udstedes kun til domæner eller subdomæner, hvilket er et problem, når virksomheder i stigende grad interagerer med forbrugere via undersider på sociale medier, markedspladser og andre tjenester.

Problemer med praktisk validering af virksomhedsidentitet er den primære årsag til de mange phishing relaterede sikkerhedsproblemer vi oplever i dag. Isoleret fokus på dekontaminering af DK-domænet og fremkomsten af QWAC certifikater som alternativ til EV certifikater vil næppe ændre væsentligt på det. Det ved man godt i EU, hvorfor man i den ny eIDAS forordning har indføjet en særlig passus om at forordningen ikke må hindre brugen af andre midler eller metoder til autentifikation af et websted.

Men kan der i praksis skabes sådanne bedre alternativer til at associere tjenester med virksomheder end håndhævelse af varemærkelovgivning og brug af EV og QWAC certifikater?

Digitale P-numre - et alternativ?

Svaret er at det har vi faktisk allerede i lande med en veludviklet selskabsregistrering som Danmark. Men desværre kun for fysiske tjenestelokationer, der i Danmark kaldes P-enheder og peger på fysiske adresser (endpoints), som man kan opsøge for at finde yderligere information om den associerede tjeneste. En P-enhed modsvarer altså i princippet til angivelsen af en navneserver for et domæne.

Lad os nu antage at en skummel forretningsmand opfører en falsk Netto-butik i mit nabolag. Et simpelt opslag på det af butikken oplyste P-nummer vil nu kunne afsløre at det ikke peger tilbage på en Netto P-enhed drevet af Dansk Supermarked A/S på den oplyste adresse.

På samme måde vil en simpel gensidig pegning mellem domæne/DNS og CVR/P-enhed kunne beskytte en virksomhed og dens besøgende mod online phishing. Og det på en måde, der ikke indebærer de samme problemer som brugen af EV/QWAC certifikater, men derimod:

  • Gratis eller billigt (som DNS?) at opsætte og anvende. Og gerne i kombination med ligeledes gratis DV-certifikater som f.eks. Lets Encrypt.
  • Kræver kun tillid til selvvalgt host (evt. self-hosted?) for P-enheds-data
  • Masser af relevante data, som intuitivt kan sandsynliggøre over for en forbruger om en virksomhed er den, den giver sig ud for (f.eks. kan min banks CVR-registrerede milliardomsætning de seneste 5 år ikke simuleres af en nystartet svindelvirksomhed). Der vil også autoritativt kunne peges på 3.partsoplysninger fra f.eks. godkendelses- og omdømmetjenester.
  • Dynamiske oplysninger - f.eks. så en konkurs straks kan bemærkes af besøgende på tjenesten
  • Firmasider på sociale medier og markedspladser vil også kunne valideres individuelt, f.eks. hvis pegning via headertags understøttes af disse
  • Let at skalere til mindst EU plan qua nyt fælles fodslag omkring virksomhedsnumre (EUID)

Allerede i 1996 erkendte Erhvervsstyrelsen at mange af os havde fået digitale postadresser som alternativ eller supplement til vores gammeldags snail-mail adresser. Nu venter jeg bare på at vi også kan få digitale P-enheder i erkendelse af at mange virksomheders aktiviteter ikke længere foregår på bestemte fysiske adresser, men derimod på digitale adresser.

Henrik Bierings billede
Henrik Biering er medejer af Peercraft ApS og aktiv i OpenID Foundation. Han interesserer sig stærkt for VRM (Vendor relation management) og blogger om håndtering af identitet, omdømme og personlige data på nettet.

Kommentarer (5)

Erik Andersen

CA står for certification authority, not certificate authority.

Der er stor forskel på de to ord : certificate og certification

Henrik Biering Blogger

CA står for certification authority, not certificate authority.


I følge CABforum har du ret, så jeg har opdateret indlægget.

En hurtig research viste dog at: Symantec, Globalsign, Digicert, Lets Encrypt,m.fl. selv anvender betegnelsen "Certificate Authority" mens Thawte, StartSSL og Wikipedia bruger betegnelserne i flæng på de samme sider. Så man kan vist roligt sige at CA'erne selv bidrager til forvirringen :)

Henrik Biering Blogger

Jeg fik skrevet mit blogindlæg uden lige først at følge op CVR-registret efter i nogen tid at have propaganderet lidt for sagen rundt omkring. Men minsandten om der ikke var dukket et nyt felt "Hjemmeside" op da jeg fik tjekket i går.

Feltet er kommenteret "Denne hjemmeside bliver ikke offentliggjort i CVR." Men indtastningen er tilgængelig via CVR API'et og dermed bliver Danmark det (svjv) blot 4. land i verden efter Norge, Finland og New Zealand, hvor virksomheder kan have en officiel online tilstedeværelse.

Nu er næste opgave så at skabe fodslag omkring hvordan virksomheder og ny tjenester kan udnytte dette til at skabe et sikrere og kommercielt langt mere effektivt internet. Mere om det snart ...

Bent Jensen

Sammen med profil på virk.dk også offentlige nøgler til kryptering og verificering af mail server og andet.

Hvorfor får postnord, skat, stat, styrelser, kommuner og andre ikke styr på deres mail, så hvis man har sat sin mail client rigtigt op, så ankommer der kun mail fra dem, og ingen andre.

Henrik Biering Blogger

Sammen med profil på virk.dk også offentlige nøgler til kryptering og verificering af mail server og andet.


Helt enig, det må være én af toppprioriterne at få styr på. Men i stedet for at indsætte flere og flere nyttige virksomheds-attributter direkte i CVR, vil det skabe bedre grundlag for innovation at bruge det ny "hjemmeside"-link som en pendant til angivelse af nameserver for et domæne. Én mulighed (blandt flere) kunne være at tage udgangspunkt i et URI-suffix under ".wellknown" (RFC5785).

Folk med ny idéer til sikkerhed eller funktionalitet kan så let definere udvidelser og skabe løsninger, der virker internationalt (i de lande, der er kommet så langt at man kan specificere en "hjemmeside"), fremfor at man hver gang skal kæmpe med hundredevis af nationale virksomhedsregistre om at understøtte ny ting direkte.

Så der forestår altså nu en opgave med at finde den bedste tekniske løsningsmodel med størst muligt genbrug af eksisterende standarder og skemaer og hensyntagen til performance, sikkerhed og privatlivsbeskyttelse. Og parallelt hermed at finde de mest lavthængende frugter, som kan hjælpe med at skabe udbredelse. For desværre har det jo ofte vist sig tungt at få udbredt ny ting på internettet uanset hvor store fordele de måtte synes at have.

Log ind eller opret en konto for at skrive kommentarer