Veel websites werken met verlopen of verkeerde geconfigureerde SSL-certificaten en zijn daardoor kwetsbaar voor aanvallen, zo blijkt uit onderzoek dat later deze maand verschijnt. Rodney Thayer zal zijn bevindingen tijdens het Chaos Communication Congress (CCC) in Berlijn presenteren (27 t/m 30 december). Het gaat om tientallen problemen die zich met SSL-certificaten voordoen. "Ik zag veel webshops die gebruikers toegang bieden tot www.winkel.nl en alleen winkel.nl. Ze denken dat ze het makkelijker voor klanten maken, maar dit soort dingen kan de werking van SSL-certificaten ernstig schaden."

Ook ontdekte Thayer tal van sites die verlopen certificaten of gedateerde technologieën zoals SSL 2 of de 40-bit RC-4 gebruiken. "Er is absoluut geen reden waarom iemand nog SSL 2 moet gebruiken, waar van bekend is dat het lek is. En in de meeste gevallen is het gebruik van RC-4 reden voor een retailer om een PCI audit niet te halen. Deze technologieën zou je niet meer moeten tegenkomen."

Ff checken
Naast de problemen met de implementatie van de certificaten is er ook behoefte aan betere standaarden voor certificate authorities die de certificaten uitgeven. "In mijn onderzoek vond ik 247 certificate authorities die als legitiem worden beschouwd, variërend van bekende partijen als VeriSign tot een kleine organisatie in Turkije die gratis certificaten levert. Er zijn geen echte industrie standaarden voor een certificate authority."

Aangezien certificate authorities niet altijd de geldigheid van een certificaat controleren moeten bedrijven dit dan ook op een regelmatige basis zelf doen, zo oppert de onderzoeker. Consumenten krijgen het advies om popups en waarschuwingen van de browser over het certificaat niet te negeren. "Controleer je SSL-verbinding voordat je er vertrouwelijke data over stuurt."