Internauci, odwiedzając strony banków lub serwisów aukcyjnych, mogą zobaczyć symbol kłódki gdzieś w oknie przeglądarki. Kliknięcie na tę kłódkę spowoduje wyświetlenie informacji o certyfikacie, który potwierdza "tożsamość witryny". Certyfikat ten musi być podpisany przez tzw. Urząd Certyfikacji (Certificate Authority - CA).

Urzędy Certyfikacji pełnią rolę zaufanej trzeciej strony, która potwierdza tożsamość osoby wydającej certyfikat. Internauci muszą się więc opierać na zaufaniu do takich organizacji.

Na możliwe problemy z Urzędami Certyfikacji zwróciła uwagę fundacja Electronic Frontier (EFF), która działa na rzecz bezpieczeństwa i prywatności internautów. Jej przedstawiciele mówią, że obecnie na świecie jest 650 organizacji wydających certyfikaty akceptowane przez dwie najpopularniejsze przeglądarki (IE oraz Firefox).

Duża liczba podmiotów tego typu utrudnia śledzenie nadużyć. Co więcej, niektóre z tych organizacji mają swoje korzenie w Chinach lub w innych krajach nastawionych na kontrolowanie treści przesyłanych w sieci. 

EFF chce uruchomić projekt o nazwie SSL Observatory, który ma na celu monitorowanie jakości certyfikatów. Organizacja wyjaśniła też motywy stojące za uruchomieniem projektu, publikując w sieci list otwarty do firmy Verizon.

>>> Czytaj: Prywatność: przeglądarka zostawia "odciski palców"

W liście tym czytamy o przypadku firmy Etisalat. Jest to telekom działający w Zjednoczonych Emiratach Arabskich. W czerwcu 2009 r. wydał on aktualizację do oprogramowania BlackBerry, która zawierała złośliwy kod. Etisalat skorzystał przy tym z klucza kryptograficznego dającego dostęp do wrażliwych części oprogramowania BlackBerry. 

Dzięki firmie Cybertrust (będącej działem Verizon) Etisalat stał się kolejnym zaufanym  podmiotem wydającym certyfikaty. Wiemy jednak, że ten sam podmiot był zdolny do działań prowadzących do szpiegowania użytkowników i to z wykorzystaniem powierzonego mu klucza. Taka sytuacja może wzbudzać obawy.

- Etisalat jest w posiadaniu zaufanego certyfikatu SSL CA i towarzyszącego mu prywatnego klucza (...) Etisalat może użyć tego klucza, aby wydawać sobie ważne certyfikaty HTTPS dla verizon.com, eff.org, google.com, microsoft.com lub w istocie każdej innej strony internetowej. Etisalat może użyć tych certyfikatów, aby prowadzić praktycznie niewykrywalną inwigilację lub ataki przeciwko tym stronom. Klucze Etisalat mogą być też użyte do otrzymania dostępu do niektórych korporacyjnych sieci VPN - czytamy w otwartym liście EFF do Verizon.

EFF jest zdania, że taka sytuacja jest niebezpieczna dla całego internetu, a szczególnie dla osób odwiedzających Zjednoczone Emiraty Arabskie i korzystających na miejscu z usług Etisalat. 

Podobne obawy co do Urzędów Certyfikacji były podnoszone już wcześniej, ale nie spowodowało to żadnych zmian w praktykach dotyczących tych instytucji. Inicjatywa EFF też nie ma na celu tworzenia atmosfery zagrożenia. Na chwilę obecną system certyfikatów wydaje się działać sprawnie, ale trzeba się zastanowić nad jego możliwymi lukami oraz sposobami ich usunięcia.

>>> Czytaj: Apple krótko trzyma deweloperów