'Overheid moet uitgevers SSL-certificaten controleren'

Thuiswinkel.org vindt dat de overheid maatregelen moet nemen om de uitgifte van SSL-certificaten te controleren. ‘De wijze waarop dat nu gebeurt kan de toets der zorgvuldigheid niet doorstaan’, aldus directeur Wijnand Jongen in reactie op de perikelen rond Diginotar.
 
Diginotar is uitgever van SSL-certificaten (Wikipedia), die de veiligheid van internetcommunicatie moeten garanderen. De certificaten van Diginotar, nota bene een belangrijke ict-leverancier van de overheid, zijn de afgelopen periode vervalst door Iran. Hoewel Diginotar volgens Jongen nauwelijks webwinkeliers als klant heeft, is de indirecte schade uit de gebleken beveiligingsgaten groot: ‘Dan heb je het over het maatschappelijke niveau van consumentenvertrouwen. Infrastructureel komt internet onder vuur te liggen.’

Discussie
Volgens de wet zijn webwinkels verplicht persoonsgegevens te beveiligen naar de laatste stand van de techniek. Het College bescherming persoonsgegevens (CBP) vertaalt die plicht zo zo dat webwinkeliers gebruik moeten maken van SSL-verbindingen. Thuiswinkel.org neemt die verplichting mee in de certificering van zijn leden. Jongen stelt vast: ‘Maar nu we weten dat de SSL-certificaten van Diginotar gehacked kunnen worden en onveilig zijn, ontstaat er natuurlijk discussie over andere certificaten.’

Overheid moet rol pakken
Thuiswinkel.org roept de overheid op uitgevers van SSL-certifcaten voortaan te controleren, wat op dit moment niet gebeurt. Directeur Jongen: ‘Het zou goed zijn als het CBP of een andere toetsende instantie checkt of uitgevers van die certiciaten wel betrouwbaar zijn. Daar is op dit moment geen enkele controle op. Zo’n certificaat kan binnen een dag geregeld zijn en iedereen kan die dingen uitgeven. Als de overheid daar zijn rol niet pakt, wordt het vertrouwensprobleem alleen maar groter.’