Security-onderzoekers van Google stellen echter niet een complete afschaffing voor van de huidige opstelling met vele certificaatverstrekkers (CA's) en gelieerden (affiliates), zoals Comodo en 'wijlen' DigiNotar. Het op DNSSEC gebaseerde alternatief DANE schrijft het huidige systeem in eerste instantie ook niet af, maar heeft wel de potentie daartoe. Google presenteert nu een tussenvorm.

Publieke inzage

Onderzoekers Adam Langley en Ben Laurie hebben aanvullende beveiliging voor het certificatensysteem bedacht en zetten dat uiteen in een paper (pdf). Centraal daarbij is de opstelling van publieke logbestanden waarin alle CA's de door hun uitgegeven certificaten vastleggen. Die logs zijn ook met encryptie beveiligd waarbij de inhoud wordt geverifieerd.

Verder zijn de logs dusdanig ingericht dat er alleen informatie aan is toe te voegen. De vermeldingen van certificaten in die logs zijn dan de eindcertificaten in de hele vertrouwensketen voor die beveiliging. Certificaten kunnen namelijk onder elkaar vallen en daarbij op elkaar vertrouwen. Een sub-CA kan daardoor meeliften op de betrouwbaarheid van een 'hogere' CA.

Meer browsercontrole

De Google-onderzoekers vullen hun voorstel van publieke logbestanden aan met het idee van meer controle op browserniveau. Zodra een webbrowser een beveiligde verbinding met een website gebruikt, moet daarvoor niet alleen het certificaat worden opgevraagd maar ook bewijs voor dat beveiligingsmiddel zelf.

Wat dat bewijs dan precies moet zijn, is nog niet bepaald. Volgens security-nieuwssite ThreatPost suggereren Langley en Laurie het gebruik van een extra certificaat voor die certificaatcontrole. Een andere suggestie is hiervoor een extensie in het leven te roepen van cryptoprotocol TLS (transport security layer), de opvolger van SSL (secure sockets layer).

Chrome-bescherming

Google's eigen browser Chrome heeft al voorzieningen ingebouwd voor betere controle op certificaten en bescherming tegen malafide website-omleiding via internetadresboek DNS. Chrome heeft sinds juni dit jaar eigen controle op certificaten voor bepaalde domeinen, zoals Google.com en Gmail.com.

Voor die laatste is eind augustus ontdekt dat er valse certificaten zijn uitgegeven, waarmee Iraanse dissidenten zijn afgeluisterd. Die onderschepping van beveiligd verkeer met Gmail bleek dankzij een vergaande en stil gehouden cyberinbraak bij de Nederlandse certificaatverstrekker DigiNotar. Het vervalste certificaat werd op die manier ontdekt door gebruikers van Chrome, die als enige browser een eigen controle uitvoert.

Comodo, DigiNotar

Eind september is Chrome voor alle gebruikers automatisch voorzien van DNSSEC. Die opvolger van internetadresboek DNS beveiligt de communicatie waarbij domeinnamen van websites worden omgezet in ip-adressen (internet protocol). Die identificatie voor de eigenlijke internetadressen speelt weer mee voor certificaten.

Het systeem voor beveiligingscertificaten staat al geruime tijd onder druk. De digitale inbraak bij een affiliate van CA Comodo heeft dit aangewakkerd. De volledige hack van DigiNotar heeft critici ertoe aangezet het hele CA-systeem failliet te verklaren. Afschaffing is echter veel makkelijker gezegd dan gedaan.