Een zogenaamde "Trusted"-Third Party (genaamd Verisign, het is inderdaad de allergrootste) heeft x509 certificaten uitgevaardigd aan 'Microsoft Corporation' in januari van dit jaar.
Goed zo, zou je denken. Ik, gebruiker van Microsoft software, kan er op vertrouwen dat de ActiveX en andere objecten die ik download en installeer op mijn computer, voorzien zijn van een echtheidscertificaat, waarmee wordt aangetoond dat de software betrouwbaar is, want afkomstig van Microsoft Corporation (alhoewel daar sowieso al over getwijfeld kan worden).
En juist de taak die bij de core-business behoort van een TTP, namelijk vaststellen dat de persoon die het certificaat verkrijgt ook werkelijk de persoon is die wordt vertegenwoordigd door het certificaat, verneuken ze. Ze geven het certificaat (yep, inclusief private key) uit aan een persoon die zelfs niet bij Microsoft werkt.
Fraude! Iemand heeft zich voorgedaan als een Microsoft werknemer (...) en vervolgens een certificaat verkregen waarmee op 95% van alle computers in de wereld software kan worden geïnstalleerd die afkomstig lijkt te zijn van Microsoft, maar dat dus niet is!!!!!!
Het is echt niet te geloven. De commerciële geldwolven die zich een vertrouwde partij noemen en die een systeem hebben omarmd waarmee vertrouwen wordt opgelegd (net zoals een heroïneverslaafde telkens weer terug moet komen bij zijn vaste dealer) zijn dus niet in staat om het werk dat ze moeten doen ook uit te voeren.
En juist daarmee beschamen ze het vertrouwen dat ik schijnbaar in ze moet hebben. En groeit bij mij het wantrouwen in hun werkmethodes. Het is alsof je in een restaurant een bestelling doet, eet en nadat je kotsend het bedorven voedsel in de WC hebt gedeponeerd de rekening krijgt gepresenteerd. Niet alleen voor het eten, maar ook voor het schoonmaken van de WC.
Betalen voor vertrouwen lijkt mij per definitie het meest idiote wat je als mens kunt doen. Volgens mij heeft de geschiedenis al geleerd dat dat een fout plan is. Waarom is het zo dat een eindgebruiker voor het verkrijgen van een x509 certificaat geld moet betalen? En waarom zou dat in godsnaam ook nog eens jaarlijks moeten gebeuren? Omdat initieel het veld "Validity" (dat onderdeel uitmaakt van een x509 certificaat) vullen met een datum die in het jaar 2500 ligt technisch gezien niet mogelijk is en je dus wel elk jaar je certificaat moet verlengen??? Volgens mij is dit pure oplichting.
En hoeveel zou Microsoft betalen voor een certificaat van Verisign? Zou het misschien zo kunnen zijn dat Microsoft niet betaalt voor een Verisign certificaat? En dat ze dus ook de service (en controle) krijgen die daar bij hoort? En van hoeveel certificaten is nog niet ontdekt dat ze niet te vertrouwen zijn? Verisign heeft er twee maanden over gedaan om achter dit probleem te komen, het is een wonder dat ze het überhaubt nog ontdekt hebben.
Saillant detail. Ook GlobalSign krijgt het voor elkaar om tijdens de aanmeldprocedure voor een persoonlijk certificaat de invoer (form) pagina via normaal http verkeer op te sturen naar je computer (== man-in-the-middle attack mogelijk) en geven als verklaring dat de post vanaf de pagina wel middels https verkeer gebeurt. Of die post dan naar hun server gaat of eerst naar andere is schijnbaar niet van belang.
De oplossing is duidelijk. Er is een DIGITALE CULTUUROMSLAG nodig. Oneindig vertrouwen stellen in commerciële bedrijven zal per definitie tot misbruik van macht leiden en is dus niet aan te raden. Het feit dat we geloven in ons technisch kunnen om vertrouwen af te dwingen blijkt dus niet terecht. Het lijkt het grote kip-en-ei verhaal. De x509 PKI infrastructuur is gebaseerd op menselijk en technisch vertrouwen, dus als de techniek ons niet in de steek laat dan doet de mens het wel. In allebei de zaken met mogelijk desastreuze gevolgen.
Feit blijft dat het gehele systeem gezien wordt als een electronic commerce aanjager. En volgens mij heeft dat nou net niets te maken met vertrouwen, maar alles met geld. Het is dus een systeem waarvan maar 1 partij echt beter wordt.
Als ik mijn geld moet uitgeven dan weet ik wel beter.
Maart 2001
Leon Kuunders