SSL: Katastrofal (u)sikkerhet

De kommer ikke like ofte som historier om personregistre på vidvanke. Men de kommer mer enn ofte nok – historiene om feil eller svakheter i SSL. Er selve grunnmuren i Internett-sikkerheten i ferd med å sprekke?

Virkeligheten er udiskutabel. De digitale sertifikatene som gjør SSL-kryptering sikker, er ikke alltid til å stole på. De alvorlige svakhetene som har dukket opp med ujevne mellomrom de siste 2-3 årene har ikke med teknologi, men med rutiner å gjøre. Utstederne av sertifikater har dårlige rutiner og uetterettelig praksis for oppfølging. Ikke alle, men noen. Dessuten – ingen overvåker dem og stiller dem til rette for sine ‘synder’. Systemsvikt med andre ord.

Kan dette være fundament for en hel business-verden? Det intuitive svaret er nei. Det faktiske svaret er ja. SSL er fundamentet for en hel business-verden. En verden som aldri har vært risikofri og som har fungert mer på tross av stor usikkerhet enn på grunn av god sikkerhet. Vi trenger ikke å lete lenger enn til Windows for å finne en analogi. Historiens største sikkerhetsmessige katastrofe lever i beste velgående, til tross for sine svakheter. Og er bedre enn noen gang – naturligvis. Avhengigheten har vært større enn risikoen. En subjektiv og pragmatisk observasjon.

Det samme gjelder for SSL. Avhengigheten er større enn risikoen. Samtidig er støyen rundt svakhetene – og de sviktende leverandørene – tilstrekkelig stor til at ingen i lengden kan dø i synden. «Bli bedre eller forsvinn.» Darwinisme i praksis. Det skjer ikke over natten, men kunder og miljøer med spesielle behov for og fokus på sikkerhet, gjør det som skal til for å avvise upålitelige sertifikater. Den største synderen av alle, hollandske DigiNotar, forsvinner. Nettleserne oppdateres og blir bedre, og alle har løftet seg ett hakk. Alle som følger med i timen. De andre fortjener ikke bedre. God business og skjødesløshet passer ikke sammen.