QWAC Certifikater? Nej, må jeg bede om et digitalt P-nummer!

Internettet er nu raskt på vej mod de 50 år. I de første 25 år skete udviklingen primært af militære og forskningsmæssige hensyn. Men ambitionerne med hensyn til skalérbarhed var høje, og med intelligente netværksprotokoller og det distribuerede Domain Name System (DNS) har den tekniske infrastruktur kunnet følge med til de seneste årtiers eksplosive udvikling i brugerantal, applikationer og trafik.

Anderledes gik det i forbindelse med opfindelsen af World Wide Web for cirka 25 år siden. Man talte om den globale landsby, hvor virksomheder og forbrugere frit kunne finde og handle med hinanden. Man undlod blot at definere mekanismer, der på tilsvarende skalérbar måde som i den tekniske infrastruktur ville gøre det muligt for virksomheder at udstille deres tjenester over for forbrugere. For hvorfor gøre det, når der hurtigt opstod søgemaskiner som Altavista og senere Google, samt markedspladser som Amazon? De virkede jo fint og gratis eller billigt for både sælgere og købere i en lang årrække, hvor antallet af virksomheder på nettet var overskueligt.

Denne manglende retttidige omhu med hensyn til at sikre basal identitetshåndtering og "service discovery" på applikationsniveau har imidlertid nu ført til eskalerende markedsførings-omkostninger, trusler mod privatlivets fred og medie-krise p.g.a. bannerblokering. Det tager jeg op i mit næste blogindlæg. For en forudsætning for, at man på entydig vis kan "opdage" en virksomhed og dens tjenester, er at den har en identitet. Så lad os starte med at se på hvordan vi i dag håndterer - eller måske snarere har forsømt at håndtere - online virksomhedsidentitet.

Varemærkelovgivningen er i dag den primære årsag til at man i et vist omfang kan stole på at man handler med firmaet Elgiganten A/S på adressen elgiganten.dk, med Coop Danmark A/S på coop.dk, og kan administrere sit danske NemID på nemid.dk (eller kan man?). Det er praktisk, men altså desværre ikke uden undtagelser og dermed ikke nogen egentlig sikkerhedsmekanisme mod phishing-relaterede angreb.

Bedre bliver det ikke ved at mange danske virksomheder med internationale ambitioner har valgt at kaste sig ud i ICANNs slaraffenland på nu over 1000 top level domæner. Herved forsvinder en del af rationalet for DK-hostmasters ønske om at holde særlig justits med lige netop DK-domænet. Ligesom det giver mere mening at kunne stole på virksomheden DK-Hostmaster A/S end at stole på adressen "Kalvebod Brygge 45", er det mere relevant at kunne stole på Dansk Supermarked A/S som virksomhed end at stole på om én af dens mange adresser lige er netto.dk, netto.nu eller netto.com.

EV og QWAC certifikater - hvorfor og hvorfor ikke

Til dette formål har man i brancheorganisationen CABforum udviklet certifikat-typer, hvor der i forbindelse med udstedelsen sker en identitetsvalidering af virksomheden bag tjenesten. CAB-forums EV-certifikater, der giver grøn farve i browsernes adresselinie, bliver snart suppleret af EU's ny, men meget tilsvarende QWAC certifikater. EU står klar med en række markedsføringstiltag udtænkt af organisationen ENISA, som har haft mere end almindeligt svært ved at finde reelle sikkerhedsmæssige fordele ved QWAC certifikater i forhold til EV-certifikater. Så muligvis vil de ny QWAC certifikater blot at øge forbrugernes forvirring med flere varianter af farvede og skraverede hængelåse i deres browsere. Det kommer oven i de problemer og begrænsninger, der allerede er kendt fra EV certifikater:

• Dyre og tidskrævende at anskaffe, da valideringen kan kræve involvering af flere mellemmænd, herunder advokater eller lokale agenter udover selve den valgte Certification Authority (CA)
• Enhver CA kan udstede certifikater på vegne af enhver virksomhed , hvilket ofte fører til udstedelse af falske certifikater til diverse typer kriminelle
• Informationen i et EV-certifikat er utilstrækkelig til at en almindelig forbruger kan vurdere om der er tale om en legitim virksomhed og ikke en til formålet oprettet svindelvirksomhed med et permutteret navn eller i en anden jurisdiktion. Problemet bliver ikke mindre af at der ikke stilles krav om at oplysningerne i certifikatet stemmer overens med WHOIS oplysningerne for domæne-registranten.
• Oplysningerne i certifikatet er statiske i dets levetid på typisk 2 år. Ændringer der sker i løbet af denne periode reflekteres ikke, selvom det kunne være f.eks. ophør eller konkurs.
• Certifikater udstedes kun til domæner eller subdomæner, hvilket er et problem, når virksomheder i stigende grad interagerer med forbrugere via undersider på sociale medier, markedspladser og andre tjenester.

Problemer med praktisk validering af virksomhedsidentitet er den primære årsag til de mange phishing relaterede sikkerhedsproblemer vi oplever i dag. Isoleret fokus på dekontaminering af DK-domænet og fremkomsten af QWAC certifikater som alternativ til EV certifikater vil næppe ændre væsentligt på det. Det ved man godt i EU, hvorfor man i den ny eIDAS forordning har indføjet en særlig passus om at forordningen ikke må hindre brugen af andre midler eller metoder til autentifikation af et websted.

Men kan der i praksis skabes sådanne bedre alternativer til at associere tjenester med virksomheder end håndhævelse af varemærkelovgivning og brug af EV og QWAC certifikater?

Digitale P-numre - et alternativ?

Svaret er at det har vi faktisk allerede i lande med en veludviklet selskabsregistrering som Danmark. Men desværre kun for fysiske tjenestelokationer, der i Danmark kaldes P-enheder og peger på fysiske adresser (endpoints), som man kan opsøge for at finde yderligere information om den associerede tjeneste. En P-enhed modsvarer altså i princippet til angivelsen af en navneserver for et domæne.

Lad os nu antage at en skummel forretningsmand opfører en falsk Netto-butik i mit nabolag. Et simpelt opslag på det af butikken oplyste P-nummer vil nu kunne afsløre at det ikke peger tilbage på en Netto P-enhed drevet af Dansk Supermarked A/S på den oplyste adresse.

På samme måde vil en simpel gensidig pegning mellem domæne/DNS og CVR/P-enhed kunne beskytte en virksomhed og dens besøgende mod online phishing. Og det på en måde, der ikke indebærer de samme problemer som brugen af EV/QWAC certifikater, men derimod:

• Gratis eller billigt (som DNS?) at opsætte og anvende. Og gerne i kombination med ligeledes gratis DV-certifikater som f.eks. Lets Encrypt.
• Kræver kun tillid til selvvalgt host (evt. self-hosted?) for P-enheds-data
• Masser af relevante data, som intuitivt kan sandsynliggøre over for en forbruger om en virksomhed er den, den giver sig ud for (f.eks. kan min banks CVR-registrerede milliardomsætning de seneste 5 år ikke simuleres af en nystartet svindelvirksomhed). Der vil også autoritativt kunne peges på 3.partsoplysninger fra f.eks. godkendelses- og omdømmetjenester.
• Dynamiske oplysninger - f.eks. så en konkurs straks kan bemærkes af besøgende på tjenesten
• Firmasider på sociale medier og markedspladser vil også kunne valideres individuelt, f.eks. hvis pegning via headertags understøttes af disse
• Let at skalere til mindst EU plan qua nyt fælles fodslag omkring virksomhedsnumre (EUID)

Allerede i 1996 erkendte Erhvervsstyrelsen at mange af os havde fået digitale postadresser som alternativ eller supplement til vores gammeldags snail-mail adresser. Nu venter jeg bare på at vi også kan få digitale P-enheder i erkendelse af at mange virksomheders aktiviteter ikke længere foregår på bestemte fysiske adresser, men derimod på digitale adresser.