Comodo was het eerste bedrijf dat werd getroffen door hackers. De CEO van Comodo zegt dat deze aanvallen door hackers allemaal onderdeel zijn van een groot geheel. “Al deze hacks zijn uitgevoerd door dezelfde groepering. En het einde is nog niet in zicht. Ik ben ervan overtuigd dat deze aanvallen ondersteund en gefinancierd zijn door een regering."

Geschonden vertrouwen

De toekomst van SSL-certificering staat sinds de laatste affaire rond Diginotar overal ter wereld onder druk. Het is een business die drijft op vertrouwen van de verschillende partijen, browsermakers en softwareontwikkelaars. Er is op dit moment geen centraal orgaan dat toezicht houdt op de situatie en organisatie van het verstrekken van certificaten. Hoe houdbaar is dat na de huidige crisis? Arnout Veenman, uitgever en journalist bij xCAT.nl Publishing heeft meerdere artikelen geschreven over de affaire rond Diginotar. Hij legt uit: “De beveiliging die met een SSL-beveiligde verbinding en daarbij behorend certificaat wordt gecreëerd is drieledig: authenticiteit van de wederpartij en vertrouwelijkheid en integriteit dat de gegevens die worden verzonden en niet door derden kunnen worden onderschept of gemanipuleerd."

Op korte termijn lijkt het vertrouwen in SSL-certificaten nog voldoende. Maar is deze manier van beveiliging van het internet houdbaar voor de lange termijn? Volgens Veenman moeten de wetenschap en het bedrijfsleven samenwerken aan een oplossing voor de beveiliging van het internet.

Maar dat is nog niet zo simpel, aldus Professor dr. Paul Klint van het Centrum Wiskunde & Informatica van de Universiteit van Amsterdam. “Het internet is niet ontworpen met beveiliging in het achterhoofd. Voor elke toevoeging aan het bestaande internet kan men zich afvragen of die de problemen wel voor honderd procent oplost."

Stroomversnelling

Toch zal de beveiliging van internet door huidige crisis in een stroomversnelling raken. Met name regeringen en overheidsinstellingen kunnen het zich niet permitteren om het vertrouwen te laten verslappen. “Het is duidelijk dat er iets moet veranderen en dat er beter moet worden gekeken welke bedrijven SSL-certificaten mogen uitgeven. Kunnen we bijvoorbeeld overheden in het algemeen of die zoals van China wel vertrouwen?", zegt Paul van Brouwershaven, technisch directeur van Networking4all.

De wetenschap en het bedrijfsleven storten zich op mogelijke oplossingen. “Deze affaire laat duidelijk zien dat er regulering nodig is van leveranciers van certificaten. Dit kan bijvoorbeeld in de vorm van certificering van deze leveranciers", zegt Paul Klint. Verschillende experts willen een nieuw systeem waarbij het vertrouwen wordt verdeeld over een grotere groep. Dat zegt ook Paul van Brouwershaven. “Hoe kunnen we dat vertrouwen in de trust authoritative party terugkrijgen? Naast het uitsluiten van overheden, is het een optie om een systeem van meerdere partijen te laten aangeven of dit wel het correcte certificaat is, maar dat is een heel complex systeem."

Nieuwe oplossingen

Oplossingen die veel genoemd worden zijn DNSSEC en DANE. “Bij een systeem als DANE wordt de verantwoordelijkheid van het identificatieproces verplaatst naar bijvoorbeeld de instantie die domeinnamen beheerd (de registry), zoals de SIDN. Dit lokaliseert het probleem per TLD (zoals .nl of .com). Bovendien is er altijd veel vertrouwen in de registry, want anders heb je überhaupt geen domeinnaam", aldus Paul van Brouwershaven. DNSSEC is een oplossing die binnen een paar maanden door veel partijen geïmplementeerd kan worden, omdat het voortbouwt op een al bestaande infrastructuur. “DNSSEC is een goede oplossing voor het controleren of iemand wel controle heeft over de domeinnaam. Maar ook hierbij is nog steeds een trust authoritative party gewenst voor het identificatieproces."

Tot slot is de wetenschap bezig met onderzoek naar Packet Level Authentication (PLA). Het onderzoek naar vervangende oplossingen van SSL-certificaten is inmiddels vergevorderd. Maar Paul Klint is terughoudend over de mogelijkheden van deze ingrijpende oplossingen. “Er zijn fundamentele vragen en problemen. Er is onderzoek dat het internet herontwerpt met ingebouwde beveiliging. Maar voor al deze verbeteringen is het de vraag of ze ooit ingevoerd zullen worden omdat de gevestigde belangen te groot zijn en verandering waarschijnlijk gradueel zal kunnen gaan."

CA's blijven voorlopig

SSL-certificeerders zullen in elk geval op korte termijn niet verdwijnen, zegt van Brouwershaven. “Enerzijds vanwege legacy-redenen en aan de andere kant blijven zij verantwoordelijk voor het identificatieproces achter een certificaat." CA's zullen zich dus moeten richten op een andere tak van de branche. “Maar als er een manier wordt gevonden om dit proces in de DNS-structuur of whois van de registry op te nemen is de toekomst van CA's onzeker."