20 november 2007
Op haar website raadt het Nederlandse PKI Overheid aan overheidscertificaten die door bepaalde versies van Mozilla Firefox niet geverifieerd kunnen worden, handmatig te accepteren. Met andere woorden: PKI Overheid raadt aan certificaten voor overheidsdiensten via het web klakkeloos te accepteren.
Tegenstrijdige signalen
Hoewel PKI Overheid zich lijkt te richten op burgers met verstand van ICT, geeft het een tegenstrijdig signaal af. In de drie keer kloppen-campagne wordt het belang van HTTP over SSL bij Internetbankieren aangestipt. Certificaten spelen hierin een sleutelrol. Met de oproep ongeverifieerde certificaten alsnog te installeren, creëert PKI Overheid een potentieel beveiligingslek. Erger nog, het leert computergebruikers aan foutieve certificaten te accepteren.
Downloaden stamcertificaat over onbeveiligde verbinding
PKI Overheid biedt op haar website ook het stamcertificaat Staat der Nederlanden Root CA
ter download aan. Deze download verloopt niet via HTTP over SSL. Je kunt dus niet geautomatiseerd nagaan of het certificaat afkomstig is van PKI Overheid. De enige mogelijkheid tot verificatie van het certificaat is het vergelijken van de fingerprint, welke volgens PKI Overheid is gepubliceerd in de Staatscourant van 11 april 2003. Dat biedt welliswaar mogelijkheid tot verificatie, maar is zeer omslachtig en voor het grootste deel van de burgers ondoenlijk.
Naast de Staatscourant van 11 april 2003 is de fingerprint terug te vinden op de website van PKI Overheid. Maar zonder geverifieerd certificaat kan niet worden gegarandeerd dat de fingerprint van PKI Overheid afkomstig is. Kortom, een kip-ei kwestie.
Hoe het stamcertificaat wel aangeboden kan worden
De meeste makkelijke manier om het stamcertificaat aan te bieden, is door een CA te gebruiken dat bij vrijwel alle browsers reeds bekend is, zoals VeriSign en GlobalSign. Browsers kunnen zo de authenticiteit van het stamcertificaat nagaan, waarna de Staat der Nederlanden als CA kan worden toegevoegd aan de browser.