Het groene slotje is geen doel op zich

Over het succes van Let’s Encrypt is veel geschreven. Het is een initiatief, inmiddels gesteund door meer dan 70 hele grote spelers, dat tot “a free automated and open certificate authority” heeft geleid. Zonder Let’s Encrypt was er nooit zo snel zo veel belangstelling voor “het groene slotje gekomen”. Nu doemt er een probleem op.

Let’s Encrypt startte in het voorjaar van 2016. Het idee zonder tussenkomst van derden zelf voor een certificaat te kunnen zorgen sprak in eerste instantie slechts een kleine groep aan. Iedereen die heel bewust een eigen VPS afnam of zweert op thuishosting, dat was ongeveer de doelgroep die er als eerste mee aan de slag ging. De CA die voor de dienstverlening een rekening stuurden maakte zich schijnbaar niet zo veel zorgen. Het was te veel hobby en enig trackrecord ontbrak.

Eind 2018 is de situatie totaal anders. Jan en alleman [m/v] kan een Let’s Encrypt certificaat regelen. Op YouTube, Reddit en tal van andere plekken staat uitgelegd hoe met moet. De acceptatie is op die manier enorm vergroot. Tot zover je van “main stream” kunt spreken bij certificaten is dit daar een goed voorbeeld van. Dat Let’s Encrypt een enorme boost heeft gekregen omdat browsers en social media netwerken er makkelijk mee omgaan is uiteraard ook een behoorlijke steun in de rug geweest. Illustraties als onderstaande laten zien dat HTTPS voor Firefox gebruikers inmiddels de standaard is en dat zou een goed signaal moeten zijn.

Er is echter een punt dat door sommigen niet eerder voor mogelijk is gehouden. Het zijn niet alleen de good guys die de voordelen van Let’s Encrypt inzien. Brian Krebs schreef er maandag over. Hij verwijst naar onderzoek Phishlabs waar sprake is van 49% phishing sites met een groen slotje. Die constatering roept natuurlijk heel wat reacties op. Niet alleen van Krebs of zijn reaguurders. Ook de andere media die Krebs volgens besteden er aandacht aan.

Heel voorspel leidt dat tot kritiek op de businesscase van Let’s Encrypt, want met iets gratis weggeven zijn de sluizen opengezet met als gevolg minder onderscheidend vermogen tussen good guys en bad guys. Dat argument krijgt gelukkig weinig steun. Waar veel uitgebreider over geschreven wordt is dat de voorlichting die jaren is gegeven om consumenten te waarschuwen voor slechte websites nu dus nutteloos is geworden. Als je het groene slotje al niet meer kunt vertrouwen, wat dan nog wel?

Iedereen die slechts heeft uitgedragen dat een groen slotje staat voor veiligheid heeft namelijk een onvolledig verhaal verteld. Tal van consumenten, ook in Nederland, zijn daardoor afgericht op het signaleren van iets groens in de browserbalk. Het is gebracht als een feilloze binaire methode. Groen is goed, de rest niet. Het slotje is zo verworden tot een einddoel.

En nu zitten we dus deels met de gebakken peren. Groen was nooit de harde garantie voor veiligheid en cybersecurity kent geen vastomlijnd einddoel dat kan worden bereikt. Voor in ieder geval een redelijk aantal hosters en VPS aanbieders wordt het tijd de communicatie over Let’s Encrypt en het groene slotje aan te passen. Dat de overheid, de banken en andere bedrijven hier ook nog eens kritisch naar moeten kijken ligt voor de hand.