Google versus Symantec – het internet is niet veilig

Al enige tijden woedt er een pittige strijd tussen Google en Symantec. In de tech pers wordt er veel over geschreven, daarbuiten valt het geschil vooralsnog weinig op. Het is echter een ontwikkeling die dusdanig belangrijk is dat het niet meer kan zijn dan een kwestie van tijd of een veel grotere groep krijgt hier lucht van. Dat heeft op zijn beurt dan weer in potentie de nodige impact op heel veel andere zaken.

Google is niet begonnen

Google is niet alleen een zoekmachine. Het is ook het bedrijf achter de browser met het grootste marktaandeel, Chrome (>50%). Het heeft daarmee dus een grote vinger in pap, het kan voor een grote groep bepalen wat men van het internet te zien krijgt. Ruzie maken, zoals in dit geval echt het geval is, is daarom iets dat voor beide partijen niet goed is. Google omdat het geen zin heeft om nog meer als een monopolist te worden weggezet, voor ene partij als Symantec omdat het daarmee een aanzienlijke hoeveelheid bereik op het spel zet.

Mozilla trok als eerste aan de bel

Het geschil is overigens niet door Google gestart. Het is de Mozilla foundation, de partij achter de Firefox browser die als eerste aan de bel trokken. Ze constateerden dat een groot aantal domeinnamen was voorzien van certificaten, zonder dat daarbij de credentials van de site en houders waren gecontroleerd. Dit was allemaal te herleiden tot Symantec. Het bedrijf weigerde echter de procedure die de fouten mogelijk maakte goed te herstellen, of was daar om welke reden dan ook niet toe in staat.

Een onjuist verstrekt certificaat kan niet alleen grootschalige fraude mogelijk maken. Internetters misleiden met fake banksites die voorzien zijn van groene slotjes en daarmee zeer betrouwbaar overkomen is al jaren iets waar door iedereen voor gewaarschuwd wordt. Via de foute methodiek bij Symantec is dat mogelijk, net als het nabootsen van sites als Google of Opera. Foute certificaten kunnen ook in potentie letterlijk dodelijk zijn. De Diginotar affaire is daar een triest en Nederlands voorbeeld van. Terecht dus dat Mozilla aan de bel trok en terecht ook dat andere partijen zich ermee gingen bemoeien.

Escalatie

De strijd is inmiddels ver gevorderd. Symantec heeft de certificaat business in de etalage gezet en van de hand weten te doen. Dat is echter niet genoeg om de escalatie te beeindigen. Google heeft gisteren bekend gemaakt dat per maart volgend jaar alle websites met door Symantec verstrekte certificaten voorzien worden van de melding dat er iets mee aan de hand is. Dat betekent – bij ongewijzigd gedrag – dat duizenden websites het verkeer in elkaar zullen zien klappen. Webshops zullen de omzet zien kelderen.

Welke zekerheid?

De druk die wordt opgebouwd om Symantec en de certificaathouders te bewegen opnieuw een certificaat aan te vragen, maar dan wel via een gedegen procedure is ongekend en uniek voor het internet. Alleen al de tsunami aan waarschuwingen om de deadline duidelijk te maken zal voor veel ophef zorgen. Mede daarom zal het voor het eerst zijn dat een grote groep internetgebruikers keihard geconfronteerd wordt met slecht nieuws. Het internet is namelijk lange niet zo betrouwbaar en veilig als menigeen hoopte. Blind vertrouwen op groene slotjes of andere indicatoren is zeer onverstandig.

Alle hens aan dek bij partijen die met internetgebruikers moeten communiceren over digivaardigheden en online veiligheid

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *