SSL, «Secure Sockets Layer», er den ledende sikkerhetsprotokollen på Internett. Den brukes av nettbanker, nettbutikker og andre nettsteder som vil tilby sikre transaksjoner. SSL skal både garantere for at nettstedet er det det gir seg ut for å være, og opprette en kryptert forbindelse mellom brukerens nettleser og tjenestens server.
Nettsted som bruker SSL viser det på to måter. For det første står det ikke «http://» på adresselinjen, men «https://». For det andre vises en låst hengelås nederst til høyre i nettleservinduet.
SSL har en grunnleggende svakhet, og den er ikke teknologisk. Den har å gjøre med hvordan SSL-sertifikater utstedes.
Erfaringen viser at det ikke er tilstrekkelig kontroll med hvem SSL-sertifikater utstedes til. Dette har kriminelle greid å utnytte til å utstyre egne nettsteder med SSL-sertifikater, og få brukere til å tro at de trygt kan gi fra seg personlig informasjon, utføre pengeoverføringer og liknende.
Før å bøte på dette, er det laget en ny klasse sertifikater, døpt «Extended Validation» eller EV SSL. Disse sertifikatene vil komme på markedet fra slutten av januar. De inngår i en ordning som er samordnet med leverandørene av de ledende nettleserne, det vil si blant annet Microsoft, Mozilla (Firefox) og Opera Software.
To poeng står sentralt i EV SSL. Det ene er at kontrollen med hvem som mottar EV SSL-sertifikater er langt strengere, og underlagt en ordning der utstederen må garantere for den sertifikatet utstedes til.
Det andre poenget er at nettleserne skal signalisere når sertifikatet er korrekt, og når brukeren bør være på vakt.
Dette signalet er bakgrunnsfargen i nettleserens adressefelt. Grønt innebærer at alt er i orden. Rødt innebærer at det kan være fare på ferde, fordi SSL-sertifikatet som benyttes ikke er av typen EV SSL.
I Internet Explorer 7 ser dette slik ut:
I denne nettleseren er det en koordinering med andre sikkerhetsløsninger i Windows Vista, slik at det kommer et tilleggsvarsel dersom nettstedet er et kjent «phishing» sted. Denne opplysningen hentes fra flere uavhengige sporingsorganisasjoner, der phishing-informasjon ajourføres fra time til time.
Her i landet vil Commfides Norge tilby EV SSL fra 25. januar.
– Vi blir den eneste utstederen av EV SSL med norsk kontor og norsk support, sier Kent Thoresen i Commfides til digi.no. – Vi legger opp en kvalifiseringsprosess i tråd med den internasjonale standarden som er publisert av CA/Browser Forum [CA står for «Certification Authority»].
Kvalifiseringsprosessen innebærer blant annet at utstederen må sjekke søkeren i Brønnøysund, sjekke at den som skal ha sertifikatet også eier det aktuelle domenet, at søkeren ikke er insolvent, konkurs, kjent for kriminell virksomhet og så videre.
– Vi må gå god for dette, og vi vil stilles økonomisk til ansvar dersom den vi utsteder et sertifikat til opptrer lovstridig, sier Thoresen.
Thoresen antar at nettbanker og store nettbutikker etter hvert vil bli med på den nye ordningen, og tror dette kan innebære et viktig framskritt for sikre transaksjoner på nettet.