En litt skremmende, men interresant sak (som er overalt på nettet nå) er denne historien. Det spørsmålet som stilles her er, hva sier et sslsertifikat oss egentlig? Vel, når vi har en ssltilkobling vet vi at all trafikken mellom webserveren og oss er kryptert og at ingen kan stjele, eller endre, noe på veien. Det er helt uavhengig av om sertifikatet er “trusted” eller ikke. Så hva vinner vi med å ha et “trusted” sertifikat?
I teorien er det enkelt, hvis Bob stoler på Alice og noen kommer til Bob med et sertifikat signert av Alice kan Bob vite at personen er den han utgir seg for å være siden Alice går god for dette med å signere sertifikatet hans. Så langt er alt fint browseren din stoler på CAen (sertifikatautoriteten?) som signeren banken din sitt sertifikat og dermed vet du at serveren du snakker med virkelig er banken din.
I praksis blir ting vesentlig vanskeligere for hva er det egentlig CAen sjekker, og ikke minst hva skal de sjekke? Hvis man graver gjennom altfor mange tommetykke lag med faktaløs reklame på verisign sine sider kommer man hit (i den grad det kan kalles fakta, men det var det nærmeste jeg kom), men det de egentlig bør sjekke er vel omtrent som følger: Eier du domenet, eller eier firmaet du jobber i domenet og er du virkelig ansatt der? Hvis svaret er ja (og nå hopper vi over litt problemer med om det faktisk er mulig å sjekke), da kan de utstede et sertifikat til deg. Så hvis du lager et firma med et navn som ligner litt på en eller annen bank og skaffer deg en side med et domene som ligner litt kan du gjøre akkurat det som har skjedd her.
Spørsmålet er egentlig om vi ønsker at CAene (som vi alle er så glad i og stoler så mye på) skal prøve å vurdere om navnet til det nye firmaet ditt ligner for mye på noe annet slik at en eller annen kan bli forvirret. Og som i så fall skal kunne nekte deg sertifikater på grunnlag av det.
Siden jeg har snakket så mye om teori og praksis kom jeg til å tenke på et bra sitat som hang på veggen i en av labbene på høgskolen, og som jeg noen ganger synes er litt betegnende for diskusjon om kryptering på nettet:
“Teori er når ingenting virker, men alle vet hvorfor. Praksis er når alt virker, men ingen vet hvorfor. Her forenes teori og praksis: Ingenting virker og ingen vet hvorfor!”