Wanneer het SSL-certificaat alleen voor het versleutelen van de gegevens over het internet wordt gebruikt, dan is het standaard SSL-certificaat voldoende. Wanneer de identiteit van de website richting de bezoeker gegarandeerd moet worden, dan is een ‘High Assurance’-certificaat essentieel.
In de nieuwste versies van de webbrowsers zit een mogelijkheid om het vertrouwen van de online consument nog meer te winnen. Een nieuwe vorm van SSL-beveiligingscertificaten onder de naam ‘High Assurance Certificaten’ garandeert op (internationaal) gestandaardiseerde en voor de bezoeker herkenbare manier de identiteit van de website. Kick Willemse, productmanager bij DigiNotar, legt uit wat dat betekent voor zowel webwinkel als consument.
Tekst: Kick Willemse
Uit een recent onderzoek van Jungle Rating blijkt dat 74 procent van de consumenten alleen aankopen doet bij webwinkels die zij vertrouwt en waar zij bekend mee is. De Nederlandse webwinkels wekken steeds beter vertrouwen. Inmiddels toont 92 procent met trots een keurmerk, zoals het Thuiswinkel Waarborg. Volgens Forrester Research vindt echter 84 procent (119 miljoen respondenten) dat bedrijven nog te weinig doen om de consument te beschermen en doet 24 procent geen aankoop vanwege twijfels aan de betrouwbaarheid en veiligheid.
https://
In 1995 werd Secure Socket Layer (SSL) geïntroduceerd als de standaard om gevoelige gegevens op een veilige manier over internet te versturen. Iedereen die ooit een bestelling heeft gedaan via internet, kent ongetwijfeld het gele slotje in de browser en de adresverandering van http naar https://.
Steeds meer organisaties zijn deze SSL-standaard ook gaan gebruiken om de identiteit van hun website te garanderen. In essentie was de SSL-standaard hier niet voor bedoeld en zijn er dus een aantal tekortkomingen.
Geen eenduidige standaard voor SSL
Er is geen uniform controleproces of een eenduidige standaard voor de afgifte van een SSL-certificaat. Zo geven internethostingbedrijven de SSL-certificaten al af op basis van een online domeincontrole, terwijl bij andere SSL-leveranciers een uitgebreide identificatie van de bevoegde aanvrager noodzakelijk is. Daarnaast schiet de zichtbaarheid in de webbrowsers en de controle van het SSL-certificaat op geldigheid of uitgevende instantie tekort. Op basis van deze feiten kan met SSL op dit moment een beperkte identiteitswaarde aan het onderliggende bedrijf worden toegekend.
Begin 2007 komt hier verandering in wordt de identiteitswaarde van SSL sterk verhoogd. De leveranciers van SSL-certificaten hebben samengewerkt met de browserleveranciers Microsoft, FireFox en Opera en een standaard gedefinieerd voor het ‘High Assurance’-certificaat.
Op dit moment zijn de ‘High Assurance’-certificaten door geen enkele SSL-leverancier leverbaar. Dit kwartaal wordt de laatste hand gelegd aan de standaarden waarna de browsers de functionaliteit opnemen. Bij de introductie van Microsoft Vista begin januari 2007 zal Internet Explorer 7 standaard worden meegeleverd. Internet Explorer 7, uitgekomen op 19 oktober, zal de ‘High Assurance’ SSL-standaard vanaf dat moment ondersteunen. De verwachting is dat de acceptatiegraad dan zeer snel zal toenemen, zeker gezien het feit dat ook FireFox en Opera deze standaard zullen adopteren.
Uitgifteproces
De nieuwe certificaten worden uitgegeven aan de hand van een uitgebreid accreditatieproces. Een dergelijk accreditatieproces bestaat nu ook voor de uitgifte van een gekwalificeerde elektronische handtekening en valt onder toezicht van de OPTA. De leveranciers van “High Assurance” SSL moeten voldoen aan de accreditatiecriteria en ondergaan een audit door een partij als KPMG of Price Waterhouse Coopers.
Om een “High Assurance” SSL-certificaat aan te vragen moet de aanvrager de volgende zaken aantonen:
- Bewijs eigendom of gebruik van het domein
- Controle van de organisatie
- De certificaataanvrager is een werknemer van het aanvragende bedrijf
- De aanvrager is bevoegd om het certificaat aan te vragen
Met de benodigde controles zal de lokale aanwezigheid van de SSL uitgevende partij en zijn vertrouwensrol nog belangrijker worden.
Verwerking door de webbrowser
Zodra het ‘High Assurance’ SSL-certificaat is geïnstalleerd bij bijvoorbeeld de webshop, kan de websitebezoeker erop vertrouwen dat het een goed geïdentificeerde webshop betreft. Het is daarbij uiterst belangrijk dat de webbrowsers dit ook duidelijk in beeld brengen voor de bezoekers.
De adresbalk in de webbrowser, waar de URL staat, zal groen oplichten indien er gebruik wordt gemaakt van een “High Assurance”-certificaat. Ook de uitgevende organisatie van het certificaat komt duidelijk in beeld. (Zie onderstaande afbeelding.)
De bestaande SSL-certificaten blijven werken, maar zullen geen groene balk of uitgevende instantie tonen. Zelf uitgegeven SSL-certificaten of verlopen certificaten zullen zelfs rood oplichten, waarbij in een uitgebreide melding wordt afgeraden om deze website te bezoeken. Het beheer van SSL certificaten en de verloopdatum wordt dus nog belangrijker en kan resulteren in het niet beschikbaar zijn van de website.
Met de acceptatiegraad van Internet Explorer 7 en de aanpassingen in FireFox en Opera zullen de toekomstige webbezoekers een groene balk gaan verwachten bij het bezoeken van een website. Met een ‘High Assurance’ SSL-certificaat is er een nieuw hulpmiddel om de online bezoeker nog meer vertrouwen te bieden.
Kick Willemse is productmanager van DigiNotar. DigiNotar helpt organisaties bij het toepassen van online identiteit, elektronische handtekeningen en betrouwbare documentuitwisseling. DigiNotar zal “High Assurance” certificaten leveren zodra dit mogelijk is. Wilt u op de hoogte blijven over de laatste ontwikkelingen rondom “High Assurance” kijk dan op servercertificaat.nl. Op persoonlijke titel onderhoudt Kick Willemse zijn weblog PapierLoos, waarin hij de laatste ontwikkelingen bespreekt rondom digitale identiteit, elektronische handtekeningen en betrouwbare elektronische communicatie.
Er is op dit moment 0 keer gereageerd op:
Werken aan online vertrouwen
Je kunt niet meer reageren op dit artikel.