Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Aansprakelijkheid Diginotar voor valse SSL-certificaten?

  • Door
  • Arnout Veenman
  • geplaatst op
  • 2 september 2011 11:12 uur

De problemen rondom de SSL-certificaten van Diginotar houden de internetwereld al een aantal dagen bezig. Een vraag die resteert is of Diginotar aansprakelijk is voor de schade die hieruit ontstaan is?

Drie groepen
Er zijn drie groepen waartegenover Diginotar aansprakelijk zou kunnen zijn. Allereerst zijn er de klanten van Diginotar die een SSL-certificaat van het bedrijf gebruiken. De tweede groep is iedereen die op een certificaat dat door Diginotar is uitgegeven vertrouwd. De derde groep zijn de eigenaren van de domeinnamen waarvoor Diginotar een vals SSL-certificaat voor heeft uitgegeven.

Hierbij vooropgesteld dat er uiteraard alleen aansprakelijkheid kan bestaan als er schade is geleden. Iedereen die een melding in zijn browser heeft gekregen dat het certificaat van digid.nl niet vertrouwd is, heeft geen (reƫle) schade geleden.

Diginotar klanten
Een klant van Diginotar heeft er recht op om te krijgen waar hij voor betaald. De klant mag verwachten dat de SSL-certificaten die zijn uitgegeven worden vertrouwd door de meeste browsers. Nu dat niet meer het geval is, krijgt de klant niet langer waar hij voor betaald. Daarmee is in beginsel sprake van wanprestatie.

Het argument dat hier onder normale omstandigheden tegenin te brengen is. Namelijk dat Diginotar niet bepaalt welke certificaten browsers vertrouwen. Dat gaat in dit geval natuurlijk niet op, gezien het aan Diginotar zelf te wijten is dat haar certificaten niet langer door browsers vertrouwd worden.

Een laatste verweer zou kunnen zijn dat er sprake is van overmacht aan de kant van Diginotar. Al denk ik dat gezien het type dienstverlening de vertrouwensbreuk als gevolg van de hack voor rekening en risico van Diginotar komt.

Internetters
Een kritische internetgebruiker die denkt een legitieme website te bezoeken en met een gerust hart zijn persoonlijke gegevens achterlaat kan ook schade hebben geleden. De verbinding is tenslotte beveiligd met SSL en in het SSL-certificaat staan keurig de gegevens van de eigenaar van de website opgesomd.

Stel dat er bijvoorbeeld een Iraanse oppositieleider kon worden opgepakt door dat zijn e-mail die hij via Gmail uitwisselde is onderschept en nu in een Iraanse kerker wordt gemarteld. Die lijdt aantoonbaar schade. Die schade was waarschijnlijk niet ontstaan als Diginotar geen vervalst SSL-certificaat had uitgegeven. De vraag blijft echter of de schade ook toe te rekenen is aan Diginotar.

Daarbij is het de vraag of de oppositieleider zoveel vertrouwen in het certificaat mocht hebben dat de schade dat er aansprakelijkheid ontstaat zodra dit vertrouwen beschaamd lijkt te worden. Gmail maakt gebruik van een regulier SSL-certificaat en geen EV-SSL waarbij er veel meer gegevens worden gecontroleerd. De zekerheid en zorgvuldigheid die mag worden verwacht is bij een EV-SSL certificaat dus veel groter. Het vertrouwen dat de oppositieleider hier in mag hebben dus ook. De belangrijkste vraag is daarom of Diginotar een zorgvuldigheidsnorm heeft geschonden?

Daarbij is het belangrijk wat er precies is er gebeurt en welke verwijten Diginotar eventueel kunnen worden gemaakt. Zoals dat in de juristerij mooi heet is het afhankelijk van alle omstandigheden van het concrete geval. Echter is het dus zeker niet uit te sluiten dat Diginotar tegenover de (hypothetische) oppositieleider aansprakelijk is. Indien er sprake is van aansprakelijkheid dan is dat uit onrechtmatige daad en geen wanprestatie.

Eigenaren van domeinnamen
De laatste groep tegenover wie Diginotar aansprakelijk zou kunnen zijn zijn de eigenaren van domeinnamen waarvoor het bedrijf een vals SSL-certificaat heeft uitgegeven. Het is niet ondenkbaar dat het vertrouwen in bijvoorbeeld Gmail hierdoor wordt geschaad.

Zeker in omgevingen waar beveiliging en versleuteling onontbeerlijk zijn, zoals dus voor de oppositie in Iran. Denk daarnaast aan webwinkels die bestellingen aannemen en de klant aan een crimineel in plaats van de webwinkel betaald en daarna verhaal gaat halen bij de webwinkel.

Ook hierbij geldt hetzelfde als bovenstaande, namelijk dat welke mate van zorgvuldigheid van Diginotar mocht worden verwacht en alle verdere omstandigheden van het concrete geval. Indien er sprake is van aansprakelijkheid dan is dat ook in dit geval uit onrechtmatige daad en niet uit wanprestatie.

Reflexwerking art. 6:196b BW
SSL-certificaten zijn geen zogenaamde gekwalificeerde certificaten, zoals Arnoud Engelfriet in dit artikel uitlegt, zodat de aansprakelijkheid van art. 6:196b BW niet opgaat. Dit artikel bepaalt dat een certificaat dienstverlener aansprakelijk is voor onjuist uitgegeven certificaten tenzij hij kan bewijzen dat hij niet onzorgvuldig is geweest.

Desalniettemin denk ik dat dit laatste artikel wel zogenaamde reflexwerking zou kunnen hebben op dienstverleners die SSL-certificaten uitgeven en dan met name EV-SSL certificaten. Dat betekent dat een rechter de ongeschreven zorgvuldigheidsnorm invult met inspiratie uit het andere artikel. Het vertrouwen dat een EV-SSL certificaat moet geven (en zoals het wordt aangeprijst) lijkt namelijk heel sterk op dat van een gekwalificeerd certificaat.

Dit zie je ook met de grijze/zwarte lijsten over onredelijke bepalingen in algemene voorwaarden (art. 6:236/237 BW) die wel voor consumenten gelden en officieel niet voor (kleine) ondernemers, maar via de reflexwerking toch ook voor hun werken.

Nog geen reacties

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.