En fjerdedel af alle Internet-brugere bliver afskåret fra at handle på nettet fra nytår. Hvis man skal tro de seneste undersøgelser, som peger på at der findes 160 millioner Internet-brugere, betyder det at over 40 millioner mennesker må vinke farvel til det elektroniske indkøb. Og årsagen er ikke år 2000-problemet, som ellers har fået megen bevågenhed i IT-branchen. Problemet er, at Microsoft og Netscape aldrig havde drømt om, at brugerne ville være så langsomme med at opgradere til de nyeste browsere, som det er tilfældet. Hvis man hører til de mange, som er godt tilfreds med deres 3.x browser og ikke føler trang til at opgradere til den nyeste version, der ifølge producenten er "hurtigere, smartere og bedre", kan man med stor sikkerhed regne sig blandt de 40 millioner brugere, som bliver konfronteret med lukkede butiksfacader i cyberspace fra nytår.
Programmer som Internet Explorer og Netscape Communicator leveres med indbyggede certifikater, som garanterer, at butikken også faktisk er det, som den giver sig ud for at være. På Internet er det ikke noget problem at stjæle et domænenavn, som svarer til en kendt butikskæde, og trække en digital facade op, hvorefter kunderne gladeligt strømmer til og afleverer deres kreditkort-data som betaling for ikke-eksisterende varer. Derfor er certifikat-systemet en af de mest fundamentale grundpiller i den elektroniske handel. Men certifikaterne i ældre browsere udløber den 31. december 1999 - og dermed forsvinder sikkerheden på nettet.
Udstedere
Systemet med certificering af Internet-firmaer bygger på tillid. Ikke til det enkelte firma, hvor devisen snarere er "mistænkelig, indtil andet er bevist", men til en certifikat-udsteder (Root CA), der garanterer, at firmaet eller personen er "sig selv" og ikke en hacker, som har opbygget en tro kopi af Internet-butikkens hjemmeside. Når browseren kontakter en Internet-server, som bruger SSL (Secure Sockets Layer), opbygges en sikker, krypteret forbindelse mellem afsender og modtager. SSL-kryptering bruges hos næsten alle forretninger på Internet, når man f.eks. skal indtaste sit Dankort-nummer. Inden SSL-forbindelsen kan opbygges sender serveren butikkens certifikat, dens "pas", som garanterer, at man kan stole på firmaet.
Men hvem garanterer for passets ægthed? Det gør CA'en, der har påført sin digitale signatur til det ligeså digitale dokument. CA'er er kommercielle firmaer som VeriSign, Thawte, GTE CyberTrust og Entrust.net, der udsteder certifikater til Internet-firmaer. Men hvem garanterer så for udstederens troværdighed? Hvordan skal browseren vide, om underskriften fra VeriSign faktisk stammer fra denne CA, og ikke er forfalsket? Certifikat-systemet bygger på "public key" systemet, som består af to nøgler, en privat og en offentlig. Den private nøgle bruges til at påføre den elektroniske signatur. Med den offentlige nøgle kan modtageren undersøge, om underskriften er ægte. Man skal holde sin private nøgle under lås og slå, mens den offentlige nøgle kan lægges ud på nettet.
Certifikater er altså signeret med CA'ens private nøgle. For at verificere, om underskriften er ægte, behøves den offentlige krypteringsnøgle fra CA'en. Nu skulle man måske tro, at browseren, hver gang der opbygges en sikker SSL-forbindelse, kontakter den pågældende CA, eksempelvis VeriSign, og henter dennes offentlige nøgle for at tjekke, om signaturen på butikkens certifikat er ægte. Men af sikkerhedsmæssige årsager har man valgt at indbygge de offentlige nøgler direkte i browseren. For at afrunde billedet skal det nævnes, at offentlige krypteringsnøgler altid er en del af certifikater, men forskellen på CA'ernes certifikater og andre er, at de ikke er signerede - udstederne er nettets højeste autoritet og ingen kan derfor sige god for dem.
Man kan sige, at firmaer som Microsoft og Netscape garanterer for certifikat-udstederne, når de indbygger deres nøgler i browserne. Men forholdene kan selvfølgelig ændre sig. Nye teknologiske landvirkninger kan gøre, at et bestemt certifikat mister sin funktion eller ikke længere kan betegnes som sikkert. Derfor er alle certifikater forsynet med en forfaldsdato. Efter denne dato bliver cerfikatet ugyldigt og kan ikke benyttes. Uden CA'ens offentlige nøgle kan det ikke garanteres, at underskriften på butikkens certifikat er ægte, og browseren fremkommer med en dialogboks, hvor brugeren informeres om, at der kan være problemer med dette certifikat. Modige brugere kan klikke dialogen væk og stadig gennemføre handlen, men man kan ikke være sikker på, om butikken nu også er ægte.
Nytår
Hvis man benytter Netscape Communicator 4.05 eller nyere eller Internet Explorer 5.x kan man trygt og roligt handle videre i det nye årtusind. I de nye browsere udløber certifikaterne ikke før i år 2010. Men i ældre browsere vil de fleste CA-certifikater ikke længere være gyldige efter den 31. december 1999. Det skyldes ikke engang det meget omtalte år 2000-problem, men er en konsekvens af, at de fleste certifikater stammer fra 94-95 og gælder i fem år. Hvad sker der så med de gamle browsere efter nytår? I første omgang ingenting - indtil man forsøger at gennemføre en elektronisk transaktion over Internet. Netscape Communicator fremkommer med en advarselsdialog, hvor man kan læse, at CA'en er udløbet. Brugeren opfordres til at tjekke computerens indbyggede ur. Man kan vælge, om man vil fortsætte eller afbryde forbindelsen.
Internet Explorer er knap så kritisk - browseren er ganske enkelt ligeglad med, om certifikatet stadig gælder eller er udløbet. Det er måske endnu mere bekymrende og repræsenterer en alvorlig sikkerhedsbrist i programmet. Brugere med ældre versioner af Internet Explorer vil altså ikke opleve problemer med at handle elektronisk, selvom CA-certifikaterne er udløbet - men man handler uden sikkerhedsnet.
Som bruger har man to muligheder for at undgå problemet. Den første og måske mindst komplicerede er at hente den nyeste version af browseren. Både Internet Explorer og Netscape Communicator er efterhånden svulmet op til kontorpakke-størrelse, så det er næppe underligt, at mange brugere tøver med at hente de nyeste versioner. Den anden mulighed er manuel opdatering af certifikaterne. I Netscape Communicator skal man klikke på knappen "Security" og "Signers" under "Certificates". Her findes en oversigt over alle installerede CA'ere og deres udløbsdatoer.
I Internet Explorer skal man vælge "Internet-indstillinger" i menuen "Funktioner". Klik på fanen "Indhold". Under "Beviser" skal man klikke på knappen med samme navn. På fanen "Rodbevisudstedere" findes en oversigt over alle installerede CA'ere og certifikaternes gyldighed.
De nyeste certifikater fra VeriSign - som udløber i år 2010 - kan installeres fra denne adresse: http://www.verisign.com/server/prg/browser/root.html.
Tvungen opdatering
På VeriSigns Internet-sider kan man læse, at udstederen ønsker at begrænse mængden af "gammel teknologi", som er i omløb. Begrundelse for dette er, at ældre generationer af krypterings-teknologi er mere sårbare overfor hackere med nye og hurtigere computere. Det må dog betegnes som tvivlsomt, om Internet Explorer 3.x og 4.x og Netscape 4.04 og tidligere kan betegnes som "gammel teknologi". En anden, lidt mere troværdig begrundelse afsløres i samme dokument: VeriSign og Netscape har indgået et partnerskab og vil snart starte en kampagne, der skal få brugerne til at opgradere til den nyeste Netscape-browser. For sikkerhedens skyld.
Taberne i dette spil er dels forbrugerne, der tvinges til at opgradere, og dels de forretningsdrivende på Internet, som efter den 31. december 1999 bliver konfronteret med stærkt dalende besøgs- og salgstal, fordi kunderne skræmmes væk af alarmerende dialogbokse i browserne.
Man kan læse mere om problemet hos Entrust.net (http://www.entrust.net/learning/rootca.htm) og VeriSign (http://www.verisign.com/server/prg/browser/faq.html).
