Probleem is alleen dat steeds meer partijen slechts een oppervlakkige controle uitvoeren betreffende de authenticiteit van de aanvrager.
Nee, browsermakers hebben beperkte/vage eisen gesteld aan CA's. Wat de 'traditionele' CA's vervolgens zijn gaan doen is daarbij een heel moeilijk ernstig gezicht trekken. Wat geautomatiseerde checks doen, eventueel nog wat administratie miepjes inhuren die aan de lopende band wat eenvoudige controles doen, en vervolgens belachelijk veel geld vragen hiervoor. Dezelfde checks die ook bijvoorbeeld bij de aanvraag van een telefoonabonnement of zakelijk contract gedaan worden, en die je hier vervolgens niet apart gefactureerd ziet.
Steeds meer nieuwere CA's stoppen hier mee, en werken met normale marges zonder hun marktpositie uit te buiten.
Hierop is het 'Extended Validation'/EV uitgevonden die de validatie procedure beter heeft gestandaardiseerd, en waar de traditionele partijen vervolgens weer verder mee kunnen met proberen de consument uit te melken voor het controleren van een KVK-uittreksel en een paspoort.
Echter dat jij die mail kan onderscheppen betekend helemaal niet dat jij de eigenaar bent van dat domein, maar dat jij slechts toegang hebt tot de betreffende mailbox..
Als jij en toegang hebt tot de mail van het domein, en toegang tot de server waar het SSL certificaat voor bedoeld is, heb je aardig wat toegang en daarmee is het terecht dat een beperkt DV-certificaat kan worden uitgegeven. Er is niet voor niets onderscheid met een EV.
Daarnaast is opname als EV-SSL CA ontzettend duur. De meeste EV-SSL certificaten komen van resellers welke door hun grote volume wel interessante prijzen aanbieden dan de root-CA zelf doet. Vergelijk het met de registratie van een .COM, .NET of .ORG domain. Verisign is de beheerder van deze TLDs, vrijwel alle aanbieders zijn goedkoper dan Verisign zelf..
Je verwart hier DNS met SSL. SSL werkt niet met monopolies op top level domains, dat doet alleen DNS.
Edit: Ik miste je punt even, je maakte een analogie. Bij Startcom valt ook een EV-SSL certificaat wel mee qua prijs overigens.
Edit 2: Nou ja, meevallen. Nog altijd $140...
Daarin tegen is de kans natuurlijk ontzettend klein dat de NSA al haar computer capaciteit gaat inzetten om jouw key te kraken.
De vraag is of het kraken van de encryptie de meest efficiente manier is voor de NSA. Ze kunnen ook gewoon een Amerikaanse CA forceren om een geldig certificaat uit te geven voor hetgeen ze willen afluisteren, en dan een MITM aanval uitvoeren.
[Reactie gewijzigd door thegve op 26 juli 2024 09:51]