Wel schoppen ze een hoop stennis als er een CA is die niet in het standaardlijstje voorkomt, zoals CAcert. Dan weten ze wel doodleuk te melden dat alle certificaten van CAcert NIET te vertrouwen zijn. Mag ik dat alsjeblieft nog zelf bepalen?!
Tuurlijk mag je dat zelf bepalen, maar het blijft om vertrouwen draaien. De grote partijen hebben aangetoond dat ze alles goed op orde hebben (al die rapporten zijn opvraagbaar bij de betreffende instanties) en dat ze te vertrouwen zijn met betrekking tot de procedures die ze volgen bij het uitgeven van certificaten.
Tuurlijk kan jij de CA vertrouwen van de systeembeheerder van je werk, maar in hoeverre kan je die vertrouwen? Hoe weet jij dat er nergens een copie van de root sleutels liggen. Als dat een normale server in het netwerk is, dan is fysieke toegang meer dan genoeg om het root sleutel paar te verkrijgen. Op dat moment heb je een probleem, want de uitgegeven certificaten kan en mag je niet meer vertrouwen. En de kans dat die diefstal onopgemerkt blijft is groot. Hoe weet je nu of je inderdaad een SSL verbinding met je intranet server heb? Of met de SSL VPN doos voor telewerken? Het kan immers ook een server zijn die door een hacker is ingericht en een ssl certificaat heeft gegenereerd met het root sleutelpaar.
Daarnaast heeft (iig) VeriSign een maximaal verzekerd bedrag bij problemen met hun certificaten.
Stel dat jij via een SSL verbinding (met een verisign certificaat) op een frauduleuze website terrecht komt en daar financieel negatieve gevolgen aan over houdt. Als dan blijkt dat de instantie die het certificaat heeft aangevraagd niet via de juiste procedures het certificaat heeft verkregen, dan kan je aanspraak maken op een vergoeding van 150.000 dollar (maximaal) geloof ik.
Heb je die garantie ook bij CAcert? Of een andere CA die jij wel wenst te vertrouwen (die van je werk of de buurman)?
Het vertrouwen bij CA's gaat veel verder dan dat je denkt.
VeriSign biedt wellicht garantie, maar hoe zit het met die andere bedrijven?
Ja, ik snap heel goed dat vertrouwen en CA's een lastig iets is. Het is ook complex, en je kunt het een leek eigenlijk nauwelijks kort en bondig uitleggen.
Het probleem dat _thanatos_ aanstipt is dat nu de browsers in best wel behoorlijk concrete bewoordingen aangeven dat een Root CA uit hun lijstje wel te vertrouwen is en alle andere niet. Enige nuance lijkt mij toch wel op zijn plaats.
@Fuzzilogic (01:12)
De root CA's in het lijstje van MS zijn te vertrouwen omdat ze voldoen aan de gestelde richtlijnen (zie ook
http://www.webtrust.org/CertAuth_fin.htm) die zijn opgesteld door o.a. de IETF en ANSI. Een vereiste hierbij is dat de CA geaudit moet zijn door een onafhankelijke erkende instantie. Die regels zijn er niet voor niets en gelden wereldwijd (de aard van het Internet)
Dat iemand een andere CA wil vertrouwen moeten ze zelf weten. Ik zou nml wel wat meer info van die partij willen hebben met betrekking tot de inrichting van hun hele omgeving, alvorens ze te vertrouwen.
Zolang een partij als CAcert niet in de browsers terug te vinden is (of wat voor CA dan ook), zijn ze in mijn ogen niet veel meer dan de CA van de systeembeheerder die draait op een PC onder zijn buro. Ik zal dan ook geen gevoelige gegevens over een ssl link sturen die met een CAcert certificaat beveiligd is.
Een postbank gebruiker zal geen melding willen krijgen over een CA die niet in je browser zit. Op het moment dat je als gebruikers (regelmatig) een CA moet toevoegen, dan wordt het een gewoonte. En je weet wat er dan gebeurt..... Dan wordt iedere vraag met betrekking tot het vertrouwen van een onbekende CA (h4x0r CA) met JA beantwoord. Dat is een pad waar je ver vandaan wil blijven.
Dat CAcert niet in het lijstje van de browsers zit, betekend niet dat ze niet te vertrouwen zijn. Het betekent ook niet per se dat ze niet vertrouwenswaardig zijn. Ze hebben het geld gewoon niet om zich te laten auditten, maar zegt niks over het slagen of falen van de audit, wanneer ze het wel konden betalen.
Per definitie zeggen dat CAcert minder vertrouwenswaardig in plaats van het het niet betrouwbaar is, lijkt een goeie weg tussen. Maar een certificaat domweg weigeren omdat ze gratis zijn, gaat wel ver. Met dat het uiteindelijk de cert-holder is die wel of niet vertrouwd moet worden! Het certificaat zelf is eigenlijk niet meer dan een sleutel.
Het meest betrouwbare zou eigenlijk self-signing moeten zijn, omdat er dan geen CAcert is die weleens stiekem de private key zou kunnen hergebruiken om jouw SSL-verbinding te kraken. Maarja, dan is de Root CA weer die PC onder het bureau van een programmeur...
![[RSS]](http://tweakimg.net/g/if/v2/icons/rss_small.png){kind=icon}
Een site met een ev-certificaat levert vanaf volgende maand eindelijk een groene adresbalk in Internet Explorer 7 op, die gebruikers erop moet attenderen dat hier een betrouwbaar - lees: traceerbaar - bedrijf aan het werk is. Ook Opera 8 ondersteunt de nieuwe techniek al. De richtlijnen om een dergelijk ev-ssl-certificaat te bemachtigen zijn bijzonder streng: de verantwoordelijke 'authorities' als Thawte en RSA moeten bijvoorbeeld verifiëren dat een bedrijf daadwerkelijk bestaat, en dat er daadwerkelijk een bereikbaar vestigingsadres is. Als een aanvraag niet met behulp van openbare bronnen gecontroleerd kan worden, moet er een 'betrouwbaar persoon' op worden uitgestuurd, die onder andere foto's van het bedrijfsgebouw en de receptie mee terug moet nemen.
15:37
13:46
Door 
![[show]](http://tweakimg.net/g/if/comments/button_down.gif "Reactie uitklappen")
