Die curieuze situatie is belicht door de Delftse hoogleraar Michel van Eeten (foto) tijdens InformationInflux, het driedaagse internationale congres in Amsterdam bij het zilveren jubileum van het Ivir, Instituut voor Informatierecht.
Van Eeten dook met collega Hadi Asghari en met Nico van Eijk, en Axel Arnbak van het Ivir in de markt van Certificate Authorities (CAs). Zij verstrekken de zekerheden voor veilige verbindingen in browsers, bekend als SSL en in de browser weergegeven met HTTPS. Ze begonnen hun onderzoek na het omvallen van de Nederlandse verstrekker van certificaten Diginotar in 2011. Die leidde tot mondiale negatieve reacties en een kleine ramp voor de Nederlandse overheid die als de wiedeweerga certificaten moest vervangen.
Het viel hen op dat er ook lekken waren bij grotere aanbieders als Comodo, GlobalSign, Verisign en Trustwave, maar met veel minder ernstige gevolgen.
Hoe was dat mogelijk?
Eerst is de markt voor CAs verkend. Je hebt Root Cas die erkend zijn door de makers van browsers als Google, Microsoft, Apple en Mozilla. Ze hebben ieder andere procedures en (dus) een verschillend aantal CAs die ze als betrouwbare partner opvoeren.
Daaronder fungeren intermediairs die door de Root CAs zijn erkend, of daarmee in één keten opereren als merk. Dan heb je nog de zelfbenoemde leveranciersdie een beveiligde verbinding bieden, maar dus ‘untrusted’ zijn.
Voor het bepalen van de marktomvang gebruikten de Nederlandse onderzoekers een database van EFF, maar die was verouderd, dus ze begonnen te zoeken. De totale markt kent zo’n 1.100 aanbieders van certificaten, toe te schrijven aan tussen de 200 en 300 verschillende eigenaren. Daaraan was circa een derde in handen van overheden. Ze zijn niet alle door elke partij erkend: zo doet Microsoft zaken met 1.100 CAs en erkent Mozilla er ruim 900.
Het aantal is erg hoog om allemaal te controleren op hun procedures en veiligheid. Temeer daar Root CAs actief zijn vanuit 43 landen en de intermediairs vanuit 54 landen. Er zaten vreemde vogels tussen zoals Secure Business Services, met 3.000 verstrekte certificaten maar een telefoonnummer dat niet werkte en geen mogelijkheid voor een prijsopgaaf. Dit soort partijen vormen zo’n twee procent van het totaal en zijn werden niet meegeteld.
Hoe zit het met prijzen?
Vervolgens bekeken de onderzoekers de marktaandelen en kwamen tot grote verschillen tussen de marktleiders en ‘de rest’. De grote partijen:
Symantec: 45 procent (Met Geotrust 20 procent, met Verisign 14 procent en met Thawte 11 procent)
GoDaddy: 22 procent
Comodo: 12 procent.
Onder de duizend grootste websites was de verdeling aanmerkelijk anders doordat een kwart daarvan zelf certificaten uitgeeft. Symantec komt dan echter nog tot 39 procent aandeel.
Vervolgens zijn de prijzen vergeleken wat een openbaring was gezien de grote verschillen. In dollar, afgerond
DV certificaten: 0 - 250
OV certificaten 40 - 1.200
EV certificaten: 100 - 1.500
DV, OV en EV verschillen in validatie. De eerste valideert louter het domein, de tweede ook de organisatie erachter en EV kent een uitgebreide validatie met een derde partij. De laatste is herkenbaar aan de groene balk in de browser. Meer validatiewerk rechtvaardigt hogere prijzen.
Echter, de prijsmarges zijn dusdanig dat dit niet enkel door de inspanning afgeleid kan worden. Immers, de vaste of eenmalige kosten voor het opzetten van een certificaathandel zijn hoog, maar de marginale kosten voor de verstrekking van elk certificaat zijn relatief gering. En hoe meer verkopen, hoe lager de kostprijs per certificaat.
De onderzoekers boekstaafden de prijzen van de grote leverancier. Dat leverde de grootste verrassing op: Symantec/Verizon vraagt de hoogste prijs van de grotere aanbieders, 1.000 dollar voor een EV-certificaat. Symantec met Thawte samen vraagt 600 dollar, nog steeds relatief duur. Ook Comodo hangt dit prijskaartje aan een EV-certificaat.
In de markt voor DV-certificaten hanteert Symantec bij een marktaandeel van 50 procent met verschillende merken veruit de hoogste prijs, van 150 dollar. Bij de OV-certificaten hetzelfde laken een pak.
Hoe kan de duurste partij marktleider zijn? Het gaat bij certificaten immers om uniforme, dus uitwisselbare producten.
Van Eeten: “Dit is voor een deel verklaarbaar door het bekende IBM-effect. Je kunt niet gestraft worden voor afname bij IBM, want op de kwaliteit van zo’n gerenommeerde partij word je als inkoper van IT-diensten niet afgerekend.”
Met meer betalen dek je een risico van aansprakelijkheid af. Echter, Niettemin, de veiligheidschefs van websites die DigiNotar certicaten lieten leveren, zijn daar hard op afgerekend - hoewel de schuldigen bij de Nederlandse overheid nooit in het openbaar zijn afgerekend.
Van Eeten en collega’s ontdekten nog een factor van betekenis: “Symantec kan tien keer zo veel geld vragen als een kleine aanbieder zonder dat Symantec iets wezenlijks toevoegt. Dat komt mede omdat Symantec te groot is om te falen. Als er een beveiligingsprobleem is, kunnen Microsoft en Mozilla geen heisa maken. Ze kunnen zich niet veroorloven om al die Symantec certificaten niet langer te vertrouwen, wat ze wel konden doen bij het nietige DigiNotar.”
Ook al omdat er nog geen meldingsplicht bestaat. Zo is Symantec/Verisign in 2010 wel degelijk gehackt, maar dit trad pas naar voren in een melding bij beurswaakhond SEC in 2012 omdat het om koersgevoelige informatie gaat. Die melding werd toevallig door Reuters opgemerkt en openbaar gemaakt. En toen was het te laat om er nog veel werk van te maken, laat staan schade te bepalen.
Van Eeten: “Bij de marktleider koop je dus niet meer veiligheid. Maar je loopt minder risico door incidenten geraakt te worden. De incidenten die wel bekend worden bij leveranciers als DigiNotar helpen de groten zoals Symantec.”