Jan Bakker, directeur Surfdiensten, noemt servercertificaten een onderschat beveiligingsmiddel, dat vertrouwelijke communicatie tussen webserver en de aangesloten bezoekers van de website verbetert.
Servercertificaten leggen de identiteit en het eigendom van een webserver onweerlegbaar vast en zorgen ervoor dat de aangesloten gebruikers via ssl-verbindingen (secure socket layer) op een veilige manier met elkaar kunnen communiceren. De certificaten die Surfdiensten levert worden standaard door alle belangrijke internettoepassingen, waaronder browsers ondersteund.
De servercertificaten die Surfdiensten aanbiedt, zijn afkomstig uit de certificatenfabriek van Globalsign. De twee hebben een samenwerkingsverband gesloten om de aanvraagprocedure te vereenvoudigen en de certificaten voordeliger aan te bieden. Globalsign is een dochterbedrijf van het in ict-beveiliging gespecialiseerde Ubizen, dat vorig jaar de Belgische overheidsorder voor het elektronische paspoort kreeg.
Het is een interessant statement dat een servercertificaat de identiteit en het eigendom van een server onweerlegbaar vastlegt – waar een heleboel op af te dingen is. Voor de gewone consument komt een certificaat van een niet duidelijke organisatie zegt dat dat van een andere écht is. Een servercertificaat is handig om een SSL sessie te initiëren, maar biedt feitelijk geen garanties, waar de gebruiker echter allerlei zekerheden wordt beloofd. In een normale zakelijke relatie wordt betrouwbaarheid omgeven door aansprakelijkheidswetgeving. Bij servercertificaten wordt deze expliciet afgewezen. Wat e.e.a. erger maakt is dat de instantie die de echtheid moet garanderen, ook nog eens onder een andere jurisprudentie valt. Welke mate van garantie de controle op het proces – naar de beroemde ETSI standaard – door een accountant biedt, laat ik maar in het midden, er is immers al genoeg negatieve publiciteit over deze bedrijfstak uitgestort.
Hoe gebruikers veilig met elkaar kunnen communiceren als de server een certificaat heeft, is al helemaal een raadsel – de server beschikt immers niet over mogelijkheden de identiteit van de gebruikers te verifiëren. Dat je versleuteld dataverkeer hebt zegt helemaal niets, zo lang je niet weet met wie – en dat kan dus niet met de hier beschreven aanpak.
gewoon weer zo’n dom pr bericht dat door luie (en nergens even induikende) journalisten klakkeloos is overgenomen. wanneer krijgen weer kwaliteitsjournalistiek? durf te vragen ipv lekker gemakkelijk overschrijven!