Onderzoekers van Carnegie Mellon University stelden aan 409 personen vragen over SSL-waarschuwingen. Terwijl 50 procent van de Firefox 2-gebruikers begreep wat een verlopen certificaat is, gaf 71 procent van die personen aan zo'n waarschuwing actief te negeren. Personen die dit soort waarschuwingen niet begrepen, besteedden er zelfs meer aandacht aan. De onderzoekers brachten ook 100 gebruikers in een computerlab en analyseerden hun surfgedrag. Daaruit bleek dat 69 procent van de personen die de technologie begrepen een verlopen certificaat van de website van een bank aanvaardden. Ze waren zo gewend aan de waarschuwingen dat ze er vaak gewoon op klikten om verder te kunnen gaan.

Gebruikers trappen in fishing-aanval

Bij een ander type waarschuwing zag het plaatje er anders uit: wanneer het domein van het SSL-certificaat niet overeenkwam met het domein van de website die de surfer bezocht, waren degenen die de waarschuwing begrepen minder geneigd om ze te negeren, terwijl de personen die ze niet begrepen ze even vaak negeerden als andere waarschuwingen. Van de 59 procent Firefox 2-gebruikers die de betekenis van zo'n domain mismatch begrepen, zeiden echter toch nog 19 procent dat ze de waarschuwing negeerden, terwijl dit toch vaak aanduidt dat de gebruiker slachtoffer is van een phishing-aanval.

Veel te veel waarschuwingen

Aangezien uit een studie die de onderzoekers citeren bleek dat minstens 44 procent van de top 382.860 SSL-websites een certificaat hebben dat voor een waarschuwing zorgt, komen gebruikers veel te veel waarschuwingen tegen. Gebruikers denken daarom veel te vaak dat SSL-waarschuwingen weinig betekenen omdat ze deze ook bij veel bona fide websites te zien krijgen. Uit de studie blijkt dat ook de bewoording van de waarschuwingen invloed hebben op hoe gebruikers ermee omgaan. Firefox 3, die het knap lastig maakt om de waarschuwing te negeren, haalt de beste score in het onderzoek, waarin Firefox 2, Firefox 3 en Internet Explorer 7 gebruikt werden.

Gevaarlijke websites blokkeren

De conclusie van de studie is echter dat de browser SSL-waarschuwingen beter in alleen de 'gevaarlijke' gevallen kan tonen of zelfs nooit: in dit laatste geval kan de browser bijvoorbeeld gevaarlijke websites resoluut blokkeren. Dit kan bijvoorbeeld met de Firefox-uitbreiding ForceHTTPS. De resultaten zijn gepubliceerd in het artikel Crying Wolf: An Empirical Study of SSL Warning Effectiveness. Ze worden op 14 augustus ook voorgesteld op het Usenix Security Symposium in Montreal. Bron: Techworld