Apple doet het, Whatsapp ook, versleutelen van begin tot het eind. Dat mag je gerust op het conto van de klokkenluider Edward Snowden zetten, met dank aan die al te weetgierige Amerikaanse inlichtingendienst NSA. Appel c.s. maken een stukje van het communicatienetwerk (in principe) onbereikbaar voor de NSA, maar een klein bedrijf in San Fransisco (VS), Internet Security Research Group (ISRG), mikt op groter: het hele web. Eerder deze week kondigde ISRG het initiatief Let’s encrypt aan om miljoenen webstekken over de hele wereld om te zetten naar een beveiligd webadres via https de beveiligde versie van het internetprotocol http.
Let’s encrypt heeft geprobeerd een van de grootste barrières naar het overschakelen op https te slechten: de certificering. Let’s encrypt fungeert als uitgever van certificaten, die verifieert of de computers waarop de beveiligde webstekken gestald zijn ook zijn die ze zeggen te zijn. Als dat zo is dan krijgen die computers een certificaat dat nodig is om je webprogramma te laten werken met de https-versleuteling. Het certificaat is in feite een handtekening die door je webprogramma wordt gecomtroleerd om er zeker van te zijn dat het om de juiste server gaat en geen bedrieger.
Er zijn meer van dat soort certificaatuitgevers, maar Let’s encrypt is gratis. Dat kan doordat het gesponsord wordt door Cisco, Google en Akamai en het is in de hele wereld beschikbaar.
Inmiddels zijn al 1,8 miljoen certificaten uitgegeven als bewijs van echtheid voor 3,8 miljoen webstekken. Daarmee is het inmiddels het derde certificatiebedrijf ter wereld.
Dat gemak van certificering heeft ook zijn schaduwkant. In januari wees beveiligingsbedrijf
Trend Micro er op dat de certificaten van de groep werden gebruikt voor verbindingen tussen kwaardaardige reclame op een niet nader genoemde webstek en voor een server die werd bediend door webcriminelen. Die gebruikten de versleutelde verbinding om trojanen te posteren op de computers van bezoekers. Let’s encrypt certificeert nu nog alleen maar een stek of een onderdeel daarvan (zoals een blog) als die wordt versleuteld vanaf de server waarop de inhoud staat. Let’s encrypt zegt niet te (kunnen) controleren welke organisatie er aan de server verbonden is, zoals commerciële certificaatuitgevers wel doen. Let’s encrypt kan ook niet garanderen dat er geen misdadigers gebruik maken van zijn diensten (vast wel), maar dat is voor die criminelen slechts een klein deel van hun ‘ondernemingsplan’. Het gaat er Let’s encrypt vooral om, om het ‘laaghangend fruit’ te beschermen en het die webboeven (inclusief de NSA) een tikje lastiger te maken
Bron: Wired