Google test blauwe verificatievinkjes in zoekresultaten bij betrouwbare sites

Zoals in het artikel van The Verge wordt gemeld lijkt dit een extensie te zijn van het gebruik van BIMI (zie Google-pagina), wat Google in verschillende projecten aan het doorvoeren is.

Hiermee kun je bedrijven op hun blauwe vinkjes geloven dat ze zijn wie ze zijn omdat ze via een aantal DNS-instellingen kunnen aantonen dat o.a. een domein echt van hen is.

BIMI bestaat al jaren en is in theorie een open standaard, maar in praktijk wordt het beheerd door een hand vol bedrijven (MS, Google, Entrust, Digicert). De facto hebben deze bedrijven zo een nieuwe tolpoort gemaakt. Ik ben op zich geen tegenstander van BIMI (ook niet echt een voorstander), maar de controle moet niet in handen liggen van een paar bedrijven.
Er zijn geen fundamentele bedrijven waarom het alleen deze bedrijven moeten zijn, maar na vele jaren is er nog steeds niemand anders dan Entrust & Digicert om de benodigde controles uit te voeren.

Identiteitscontrole wordt steeds belangrijker op internet (wat je daar verder ook van denkt), dat moeten we niet overlaten aan de partijen die toch al een ijzeren greep op de markt hebben. Ze zullen het (ook) gebruiken om hun eigen positie te versterken, zoals met gratis vinkjes bij een groot abonnement terwijl het duur/onmogelijk is om te gebruiken als je niet ook andere diensten afneemt.

Het hele BIMI/VMC systeem werkt overigens alleen voor bedrijven omdat je je bedrijfslogo moet laten registreren als Trademark. Consumenten hebben geen logo's en trademarks.

Het grote voordeel van BIMI is overigens niet technisch van aard maar psychologisch: mensen vinden een mooi plaatje met een blauwe vinkje makkelijk te begrijpen. Dat zegt ze veel meer dan een tekstveld met "SPF Failed, DKIM Succes, DMARC Succes". Dat is beperkt waardevol, als de check mislukt was dan was de mail toch niet aangekomen. Niettemin is het fijn om een positieve inidicatie te hebben dat er een controle is uitgevoerd.

Sterker nog, buiten wat nerds geeft niemand iets om de security-aspecten maar ze willen wel dat plaatje naast hun naam. Opeens wil de afdeling Marketing & PR graag meewerken met securitymaatregelen. Hele discusssies over noodzaak, wenselijkheid en kosten van security worden vervangen door de simpele vraag "Wil je een blauw vinkje?" en dat willen ze allemaal zelfs als ze niet waar het voor staat.

Op termijn zal ons dat wel weer in de kont bijten als we moeten gaan uitleggen waarom zo'n blauw vinkje alleen niet genoeg veilgheid biedt, maar dat geldt voor alle "zichtbare" security maatregelen voor leken. Een paar jaar geleden hadden we "het slotje" en later "het Groene slotje" en nog later "de Groene Adresbalk". Daar zijn we maar weer mee gestopt want niemand snapte er iets van buiten de nerds geen kleurtjes nodig hadden om het begrijpen en mensen werden voor de gek gehouden met nep-slotjes en valse groene balken.
Tegenwoordig is het niet meer zo nodig omdat nu iedere website toch wel https gebruikt.

Misschien dat BIMI ons kan helpen naar de situatie dat SPF/DKIM/DMARC zo gewoon worden dat je er op kan vertrouwen dat alle legitieme mail er gebruik van maakt.

Er staat een betrouwbare site. Niet een betrouwbaar bedrijf.

Als ik naar loucheslotenmaker.ru ga, en dat is echt de site van dat bedrijf Louche Slotenmakers’, dan is die site dus ‘betrouwbaar’. (Maar zegt het niets over het bedrijf.)

Als echter het bedrijf ‘Top Slotemakers’ een site loesheslotenmakers.ru heeft en doet alsof het ‘Louche Slotemakers’ is, dan is dat niet betrouwbaar.