Comodo probeert Let's Encrypt als handelsmerk vast te leggen - update

Certificaatautoriteit Let's Encrypt is erachter gekomen dat Comodo Group, een leverancier van onder andere ssl-certificaten, probeert 'Let's Encrypt' in verschillende vormen als handelsnaam vast te leggen. De autoriteit zegt er alles aan te zullen doen om de naam te verdedigen.

De ISRG, of Internet Research Group, ontdekte dat Comodo poogde om ten minste drie handelsnamen met de term 'Let's Encrypt' erin vast te leggen. Comodo probeert dit voor verschillende, aan ssl-certificaten gelieerde diensten, schrijft Let's Encrypt op zijn site.

ISRG begon met het gebruikmaken van de naam Let's Encrypt in het publieke domein vanaf november 2014. Sindsdien worden de certificaten van de autoriteit door veel sites wereldwijd gebruikt, zoals ook door Tweakers.

Let's Encrypt begon in november 2014 met een wereldwijde campagne onder de vlag van de Electronic Frontier Foundation om gratis ssl-certificaten te verstrekken. Het doel was om websitebeheerders in minder dan een minuut een certificaat voor een website zouden kunnen installeren.

De ISRG zegt de Comodo Group sinds maart van dit jaar regelmatig gevraagd te hebben om hun aanvragen op de handelsnaam 'Let's Encrypt' op te geven. De ISRG deed dit zowel via advocaten, als direct. Vooralsnog heeft Comodo dit geweigerd.

Update 18.43 uur: Een medewerker van Comodo claimt op het forum van het bedrijf dat de registraties van de handelsmerken niet doorgezet zullen worden en dat deze aanvragen vanzelf zullen verlopen. Dit had het bedrijf echter niet gecommuniceerd met Let's Encrypt, dat zou inmiddels wel gedaan zijn.

Helaas!
De video die je probeert te bekijken is niet langer beschikbaar op Tweakers.net.

Let's Encrypt client-demonstratie

IT-banen

Reacties (90)

M3! 24 juni 2016 16:29

De CEO heeft op het publieke forum van Comodo een reactie gegeven, met oa:

What they have is nothing new. We have been giving 90 day free certificates since 2007. Unlike them, our certificates are managed, even the free ones, so that consumers are protected. If a certificate is being used maliciously we revoke it. They don't! How is that making internet safer??? Actually consumer are less safe with their certificate because if it is used maliciously they don't revoke (Unmanaged)!

Lets get the facts right guys! We are the good guys that have been giving free SSL certificates since 2007 and managing them!

Rubén89 @M3! • 24 juni 2016 16:51

Comodo heeft vandaag op haar forum verklaard dat zij niet van plan is "Let's Encrypt" daadwerkelijk als handelsmerk te registreren, althans de registratie niet door te zetten en dat zij de ISRG hiervan inmiddels ook op de hoogte heeft gebracht:

"With LE now being an operational business, we were never going to take the these trademark applications any further. Josh posted a link to the application and as of February 8th it was already in a state where it will lapse.

Josh was wrong when he said we’d “refused to abandon our applications”. We just hadn’t told LE we would leave them to lapse.

We have now communicated this to LE."
(Robinalden - Comodo Staff)

Bron:
https://forums.comodo.com/general-discussion-off-topic-anything-and-everything/shame-on-you-comodo-t115958.0.html;msg837436#msg837436

[Reactie gewijzigd door Rubén89 op 24 juli 2024 21:10]

.oisyn Moderator Devschuur® @Rubén89 • 24 juni 2016 17:31

Het had vanuit PR standpunt handiger geweest als hij het gewoon daarbij had gelaten, ipv allemaal onzinnige dingen erbij te halen.

Ik bedoel, kom op, "oh boehoehoe zij hebben de lengte van 90 dagen van ons gekopiëerd". Come on, Comodo. Really? 3 Maanden is helemaal niet zo'n vreemde lengte, laat staan uniek. Google gebruikt ook 90 dagen voor hun certs. Tal van andere partijen bieden ook 90 dagen free trials aan. En precies dat, het is een trial, de certs van Let's Encrypt zijn blijvend gratis voor een oneindige hoeveelheid aan domeinnamen. Bij Comodo issueën ze 1 trial voor 1 domein. Wil je langer? Dokken. Wil je meer domeinen? Dokken. En dan ook nog het lef hebben om te beweren dat het door Comodo komt dat 90-dagen certs zoveel in de statistieken voorkomen. Alsof het hele internet aan elkaar hangt met trial certs van Comodo

. Het is veel plausibeler dat dat komt omdat Google dat ook gebruikt, wat een enorm veel grotere partij is.

Het is dat ik zelf al ben overgestapt van wildcard certs van Comodo naar per-sub-domein gratis Let's Encrypt certs, die ik bovendien nu niet meer elk jaar met de hand hoef te renewen, anders had ik die overstap na deze blamage zeker gedaan.

Armin

Netwerk en systeembeheer

@.oisyn • 24 juni 2016 19:40

Absoluut!

En het lijkt er ook op dat men pas nadat er een storm van verontwaardiging kwam, men het plan besloot in te trekken. Anders had men al eerder LE verwittigd.

Alternatief is dat men zelf al inzag dat het een smerig plan was, en hoopte dat niemand hetz ou ontdekken alvorens de aanvragen zouden verlopen. Maar ja, dan had men nog steeds LE kunnen verwittigen nadat zij bij hen aan de bel trokken.

Stevie-P @M3! • 24 juni 2016 16:37

Het grote verschil is dat Comodo een trial van 90 dagen geeft, en Let's Encrypt een gratis dienst is waarbij je na 90 dagen alleen je key moet verversen.

Armin

Netwerk en systeembeheer

@Stevie-P • 24 juni 2016 19:37

Toch heeft hij wel een punt dat Let's Encrypt niet controleerd. Dus bij fraude kan men tot 90 dagen doorgaan bij Let's Encrypt. Die zijn hier al vaker op aangevallen, en naar mijn smaak terrecht.

Dat heeft echter uiteraard nog steeds niets te maken met het stelen van iemands anders naam. Dat blijft moreel laakbaar.

ilaurensnl @Armin • 25 juni 2016 10:15

Hoezo word dit niet gecontroleerd, er moet een folder en bestanden op de root pagina komen die weer uitgelezen word om het te kunnen verifieren.

Ik snap niet hoe mensen een aanval kan vergelijken met een normale certificaat, tenzij gegevens geencrypt doorsturen naar de server ook een aanval is.

Het is geen green bar certificaten, deze wordt normaal gesproken wel geverifieerd.

Armin

Netwerk en systeembeheer

@ilaurensnl • 27 juni 2016 18:32

Hoezo word dit niet gecontroleerd, er moet een folder en bestanden op de root pagina komen die weer uitgelezen word om het te kunnen verifieren.

LE controleert in den beginne, en daarna niet meer. Bepaalde andere CA's controleren ook daarna of een certificaat niet per absuis afgegeven is aan een slimme frauideur.

.oisyn Moderator Devschuur® @M3! • 24 juni 2016 16:38

Een fanstastische drogredenering. Leuk verhaal, maar het verklaart geenszins waarom ze nu ineens Let's Encrypt als handelsmerk proberen te registreren. En die actie alleen maakt dat ze eigenlijk toch stiekem helemaal geen "good guys" zijn.

atlaste @.oisyn • 24 juni 2016 17:21

Een kat in het nauw maakt vreemde sprongen.

Verstandige katten komen niet in het nauw. Luie katten wel.

Verwijderd @M3! • 24 juni 2016 16:51

Hoe komt die vent erbij dat Let's Encrypt certificaten niet worden ingetrokken bij misbruik? Lijkt me kolder.
Ook zie ik op de website niet of dat gratis certificaat permanent gratis is of alleen voor die 90 dagen en of dat daadwerkelijk hetzelfde is als wat LE levert. Komt meer over als een bruggetje naar een betaalde certificaatvorm.
Volgens mij voelt hij gewoon nattigheid rondom zijn omzet.

Edit:

Even vluchtig dat topic doorgenomen. Raar dat hij zich überhaupt zo in die discussie mengt. Lijkt me niet risicoloos.

Edit 2:

Waarom hebben de heren van LE overigens niet hun naam vastgelegd. Als ze dat gedaan hadden kon Comodo nu niet de patent troll gaan uithangen... beetje slordig wel.

Edit 3:

https://forums.comodo.com....html;msg837436#msg837436

Hier valt te lezen dat Comodo niet verder gaat met deze actie...

[Reactie gewijzigd door Verwijderd op 24 juli 2024 21:10]

Armin

Netwerk en systeembeheer

@Verwijderd • 24 juni 2016 19:46

Hoe komt die vent erbij dat Let's Encrypt certificaten niet worden ingetrokken bij misbruik? Lijkt me kolder.

Helaas is dat geen kolder. De aanvrager van een certifciaat kan zelf een certifciaat intrekken. Bijvoorbeeld als die ontdekt dat zijn private key gestolen is.

Maar wat wel waar is, is dat LE zelf geen actief management heeft. Dat hebben diverse andere CA's wél.

svenslootweg @Armin • 24 juni 2016 21:10

Ik zie eerlijk gezegd niet waarom een CA uberhaupt een certificaat moet intrekken zolang aan de certificaatvoorwaarden voldaan is (dus geen vals certificaat voor een domein, bijvoorbeeld).

Waar dat certificaat voor gebruikt wordt gaat ze geen snars aan, en heeft ook helemaal niets te maken met de resulterende veiligheid die wel of niet aanwezig is. De rol van een CA is het verifieren van een identiteit/domein en daaruit het tekenen van een certificaat, punt.

EDIT: Relevant draadje.

[Reactie gewijzigd door svenslootweg op 24 juli 2024 21:10]

Armin

Netwerk en systeembeheer

@svenslootweg • 24 juni 2016 21:25

Ik zie eerlijk gezegd niet waarom een CA uberhaupt een certificaat moet intrekken zolang aan de certificaatvoorwaarden voldaan is (dus geen vals certificaat voor een domein, bijvoorbeeld).

Als de eigenaar daarom vraagt bijvoorbeeld

Waar dat certificaat voor gebruikt wordt gaat ze geen snars aan, en heeft ook helemaal niets te maken met de resulterende veiligheid die wel of niet aanwezig is. De rol van een CA is het verifieren van een identiteit/domein en daaruit het tekenen van een certificaat, punt.

Precies, maar de vraag is of die controle enkel vooraf plaatsvindt. Mensen en dus ook CA's maken fouten. LE controleert enkel vooraf, diverse andere CA's controleren ook nog gedurende in de zin als er aanwijzingen zijn dat er een fout gemaakt is corrigeren ze die. Bij LE is er niet zo'n beleid.

Dat is een feitelijkheid waar Comodo dus gelijk heeft. Of dat het de meerprijs van een certificaat rechtvaardigd is iets dat iemand zelf moet bepalen.

elmuerte @Armin • 24 juni 2016 23:47

Ik heb nog nooit een controle na uitgave van Comodo meegemaakt. De controle vooraf is minder dan die door Let's Encrypt uitgevoerd wordt. De telefonische controle is helemaal een lachertje, een of andere Indische call center medewerker die vraagt of je de order geplaatst hebt, geen verdere controle.

Blokker_1999

Internet
Netwerk en systeembeheer

@elmuerte • 25 juni 2016 11:24

Ik ben dit jaar net vastgelopen bij Comodo op de validatie (toegegeven, het ging om een ander type certificaat) omdat er via de notaris gelopen moest worden. Die mannen slagen er niet eens in om de notaris terug te bellen om daar na te vragen of ik er geweest ben. Na maanden aanslepen, aandringen om mij op de hoogte te houden enzoverder was ik het beu en nu heb ik weer moeite om die honderden euros dat het certificaat mij zou kosten terug te krijgen... zucht.

eborn @Armin • 25 juni 2016 00:01

Tja, aangezien het certificaten systeem zo sterk is als de zwakste schakel, is de toegevoegde waarde van alle varianten behalve EV nihil. Alsof een gemiddelde consument gaat kijken van welke leverancier het certificaat afkomstig is en zo ja, welke gegevens hier dan aan gekoppeld zijn.

Aangezien Let's Encrypt certificaten ook maar een beperkte geldigheid hebben, is het risico op langdurig misbruik sowieso te verwaarlozen.

svenslootweg @Armin • 25 juni 2016 00:40

Dat is onjuist; Let's Encrypt kan wel degelijk certificaten intrekken als deze onjuist zijn uitgegeven of zijn gecompromitteerd (en heeft hier ook gewoon infrastructuur voor). De kritiek vanuit Comodo lijkt dan ook voornamelijk over bijvoorbeeld phishing te gaan, en dat is gewoon niet de zaak van de CA.

Betreffende het regelmatig controleren; dit is simpelweg niet noodzakelijk bij Let's Encrypt, omdat certificaten slechts maximaal 90 dagen geldig zijn. Het gaat enkel om DV, en dus is de domein-controle tijdens de renewal genoeg om vast te stellen dat de uitgifte legitiem is. Bij EV zou het anders liggen, maar daar doet LE momenteel niet aan.

Armin

Netwerk en systeembeheer

@svenslootweg • 27 juni 2016 18:35

Dat is onjuist; Let's Encrypt kan wel degelijk certificaten intrekken als deze onjuist zijn uitgegeven of zijn gecompromitteerd (en heeft hier ook gewoon infrastructuur voor). De kritiek vanuit Comodo lijkt dan ook voornamelijk over bijvoorbeeld phishing te gaan, en dat is gewoon niet de zaak van de CA.

Kan ...

Ik zei dan ook: "Bij LE is er niet zo'n beleid." Er is geen externe klachtenprocedure etc.

Betreffende het regelmatig controleren; dit is simpelweg niet noodzakelijk bij Let's Encrypt, omdat certificaten slechts maximaal 90 dagen geldig zijn.

Kun je nog steeds 90 dagen frauderen ...

Ik snap de kritiek niet zo goed. Wat Comodo stelde is op dit punt gewoon een feitelijkheid. Dan kun je nog zo'n fan van LE zijn, maar feiten zijn feiten.

Dat doet niets af aan de ratterigheid van Comodo betreft het stelen van de naam, en de kwestie of zo'n extra controle wat waard is natuurlijk.

Adamar @Verwijderd • 24 juni 2016 18:04

Edit 2:

Waarom hebben de heren van LE overigens niet hun naam vastgelegd. Als ze dat gedaan hadden kon Comodo nu niet de patent troll gaan uithangen... beetje slordig wel.

Dat snap ik nu ook niet. Het is niet de eerste keer dat zoiets voor valt in de OSS comunity, zelf Linux is er ten prooi aan geweest. Maar toch blijven ze dezelfde fouten maken.

Blokker_1999

Internet
Netwerk en systeembeheer

@Adamar • 24 juni 2016 18:14

Waar moet het geld vandaan komen? Je merknaam internationaal beschermen is niet goedkoop.

Verwijderd @Blokker_1999 • 24 juni 2016 19:28

Als ik dit zo lees valt het opzich wel mee. (alles overwogen, individueel gezien is het natuurlijk wel veel geld)
Ze worden gesponsord door titanen als Cisco, mag toch aannemen dat er wel iets van geld voor is?

[Reactie gewijzigd door Verwijderd op 24 juli 2024 21:10]

Blokker_1999

Internet
Netwerk en systeembeheer

@Verwijderd • 25 juni 2016 11:25

Sponsoring betekend nog altijd niet dat je zomaar alles kunt gaan betalen wat je wenst. Die sponsoring kan net zo goed amper voldoende zijn om de dagelijkse werking te bekostigen. Tenzij er een open boekhouding is kunnen wij daar niet zomaar over oordelen.

Verwijderd @Blokker_1999 • 25 juni 2016 17:52

Dat snap ik, maar merkbescherming lijkt me toch redelijk elementair?

Verwijderd @Adamar • 26 juni 2016 01:09

Lijkt mij toch redelijk eenvoudig anders, de tijd, energie en geld die je in zoiets stopt maakt het eindproduct niet beter, het is dus nuttiger om alles te steken in dingen die echt iets bijbrengen aan het project ipv je tijd te verdoen aan randzaken die niets opleveren. OSS projecten hebben nu eenmaal maar een beperkt aantal resources, er moet dus doordacht met die resources omgegaan worden.

De vraag die we ons eerder zouden moeten stellen is hoe het komt dat zo'n smerige acties nog steeds mogelijk zijn en hoe we van zo'n oneerlijk onproductief systeem vanaf komen.

WhatsappHack

Internet
Netwerk en systeembeheer
Let's Encrypt

@Verwijderd • 24 juni 2016 18:03

Melih mengt zich wel vaker in discussies, en heeft wel vaker wat controversiële dingen gezegd. Risico staat voor hem lager dan transparantie en zeggen waar het op staat. En hoewel het soms (zoals nu) *MOGELIJK* voor problemen kan zorgen is het ook iets dat juist door heel veel klanten op prijs wordt gesteld en voor veel voordelen heeft gezorgd. Is een prima gozer en CEO die zich hard maakt voor zijn bedrijf en zijn medewerkers. Heb een paar keer direct met hem gewerkt, altijd erg aardig en professioneel; en ook alles behalve gierig.

Je kan ook moeilijk van hem verwachten dat ie het in z'n nadeel spint.

Verwijderd @WhatsappHack • 24 juni 2016 18:08

Mogelijk?
Ik lees bijzonder weinig reacties van mensen die zijn handelen in deze sympathiek vinden.
Weloverwogen, je hoeft dit concept van het effectief afpakken van Let's Encrypt's (handels)naam toch alleen maar te horen om in te zien dat dit enkel en alleen mega slechte PR gaat opleveren? Als er vervolgens voor zo'n slappe hijack dan ook van alles aan drogredenen uit de kast getrokken wordt door de CEO zelf maak je als CEO van een concurrerende tent niet echt de blits.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 21:10]

Freekers @M3! • 24 juni 2016 16:36

Wat een arrogante reactie van die vent. Dus omdat hun mechanisme anders werkt (en in zijn ogen beter) dan dat van Just Encrypt, zouden zij recht hebben op de naam Just Encrypt? Pfff. En dan ook nog komen met het argument 'wie zegt dat zij deze naam hebben verzonnen? Wij geven al gratis certificaten uit sinds 2007', beetje toeval om hem dan nu pas officieel vast te laten leggen!

majetta @M3! • 24 juni 2016 16:37

dus we gaan alle "let's encrypt" termen vastleggen als onze eigen handelsmerk om zo de concurrentie te benadelen.

Arietje @M3! • 24 juni 2016 16:42

Als je op de website bekijkt is de insteek toch echt een free trial. Ze bieden zover ik kan zien geen mogelijkheid om automatisch te verlengen.

Dat Let's Encrypt voor Comodo en consorten een enorme bedreiging is lijkt me duidelijk. Kom dan met iets nieuws of bevestig je meerwaarde t.o.v. LE.

Maar dit lijkt me gewoon een valse wanhoopsdaad.

Zumpelvelder @M3! • 24 juni 2016 22:35

Iemand krijgt het heet onder de voeten. De heft van de tekst die hij/zij schrijft bestaat uit herhalingen. Ook grappig (of zielig) om te zien dat die het blijkbaar notabel vindt dat ze al sinds 2007 gratis certificaten uitgeven.

Ik denk dat Lets encrypt die markt goed open aan het breken is, ben benieuwd hoe dat gaat lopen.

Ik vind het overigens wel extreem laag om als bedrijf de naam van een ander als handelsmerk vast te leggen. Echt te zielig voor woorden. Zegt mij ook al heel veel wat voor kut bedrijf dat is. Als je dit soort dingen doet ben je helemaal niet bezig met de wereld beter maken. (Ja, ik vind dat dat als bedrijf zijnde een van je doelen moet zijn.)

blaatenator @Zumpelvelder • 25 juni 2016 14:00

Als dit de enige reden is waarom je Comodo een k*t bedrijf noemt (hoewel dit voorval reden genoeg is voor die classificatie

) ben ik benieuwd hoe je het bedrijf gaat noemen als je de details leest van de andere rotzooi die dat bedrijf produceert...

Het feit dat een bedrijf dat malware produceert EN daarnaast een CA is geeft wel aan hoe rot het hele systeem is. Comodo, Symantec (met de recente Blue Coat ongein maar ook eerder al met andere ongein)... Een pot nat.

Xcite @M3! • 25 juni 2016 12:31

Oh Comodo valt andere CA's aan.

Lets encrypt gaat er van uit dat je de server beheerd of dns beheerd van een hostname (deze checken ze of daar de validatie key zien. Dus het is niet 100% maar wel goede controle (niet minder dan een email validatie).

Comodo deed / doet dit met een vinkje dat de reseller kon zetten zodat wanneer er een reseller gehack werdt er ook voor verschillende grote (en misschien gevaarlijker kleinere) bedrijven certificaten uitgegeven konden worden.

Dit is in het verleden meerdere malen gebeurd, en er zijn toen ook certificaten van MS, google en yahoo uitgegeven. Dus in mijn ogen is comodo de laatste die uberhaubt recht van spreken heeft als het gaat om veiligheid van certificaten.

nieuws: Comodo geeft frauduleuze ssl-certificaten uit na hack

CAPSLOCK2000

Internet
Netwerk en systeembeheer

24 juni 2016 16:28

Wat een vuillakkerij. Als ik klant was bij Comodo dan zou ik nu direct vertrekken.
Bij een CA koop je vetrouwen. De hele waarde van zo'n bedrijf is hoe betrouwbaar ze zijn. Technisch is hun werk helemaal niet spannend, iedere IT'er zou het kunnen. De grote waarde van Comodo is dat alle browser, computers, telefoons etc. de certificaten van Comodo vertrouwen. Als het van Comodo is dan weet je dat het betrouwbaar is want dat bedrijf zal er alles aan doen om z'n reputatie schoon te houden.

Tot nu toe. De naam en identiteit een andere inpikken is een van de belangrijkste problemen die SSL zou moeten verkomen. De CA's verdienen hun geld met het controleren van identeiten.

En nu gaat nota bene een CA vieze spelletjes spelen met valse identiteiten? Niet te vetrouwen. Weg er mee. Ongeschikt voor hun werk. Bah.

Dat ze het bij een liefdadige organisatie als LE flikken laat helemaal zien dat ze geen scrupules hebben en alles voor het geld doen. Ik zou dus geen klant willen zijn tenzij ik zeker weet dat er niemand is die meer kan betalen dan ik want blijkbaar door Comodo alles voor geld, zelfs de kern van hun bedrijf schenden.

sharkwouter @CAPSLOCK2000 • 24 juni 2016 17:36

Het domste in dit hele verhaal is dat Mozilla en Google achter Let's Encrypt staan. Als die 2 ophouden met het vertrouwen van jouw certificaten, kan je de tent sluiten. Meer dan de helft van de internet gebruikers kan dan niet bij websites die gebruik maken van jouw certificaten.

temp00 @CAPSLOCK2000 • 24 juni 2016 23:54

Helemaal mee eens en prima reactie! Zou het niet beter kunnen verwoorden.

c-nan 24 juni 2016 17:22

Ergens heeft Melih wel een punt. Werkt LE actief mee aan het intrekken van certificaten indien daar reden voor is? Volgens CEO van Comodo namelijk niet. Indien zijn bewering klopt zou ik de certificaten van LE niet vertrouwen.

Verwijderd @c-nan • 24 juni 2016 17:51

Ik heb het even opgezocht, ze hebben er een blog post aan toegewijd:

https://letsencrypt.org/2015/10/29/phishing-and-malware.html

TD:DR; Ze houden sites tegen een lijst van google aan op moment van verstrekken maar blokkeren niet "after the fact".
Ze vinden security iets voor de browserfabrikant, niet voor certificaatboeren.
Als je hun hele verhaal leest valt daar wel wat van te zeggen.

c-nan @Verwijderd • 24 juni 2016 18:57

Hoe kan een browserfabrikant nou weten welk frauduleuze bedrjif achter een website staat? Waarom dan nog SSL (behalve encyptie), als er toch niet wordt gecontroleerd. Daarmee slaan ze plank wel volledig mis.

Verwijderd @c-nan • 24 juni 2016 19:07

Domeinvalidatie zoals LE die doet is niet om een persoon/bedrijf aan een domein te koppelen, enkel een domein aan een server ter behoeve van verbinding versleuteling. Dus dat is onzin want je weet sowieso niet wie er achter een website "hoort" te zitten als daar geen uitgebreider certificaat op zit met persoon validatie en de hele rataplan.

De vraag is dus alleen of er actief certificaten ingetrokken moeten worden door een CA, en een CA dus effectief een inhoudsoordeel moet uitvoeren op de websites waar diens certificaten toegepast worden.
Ik denk van niet maar ik kan me voorstellen dat je daar een andere mening over hebt. Het is ook niet echt een hapklaar punt van aandacht en voor beide kampen zijn steekhoudende argumenten te bedenken.

Ik vind dat beveiliging tegen malware in de eerste plaats gewoon bij de eindgebruiker ligt en in de tweede plaats bij het OS, de browser en eventuele antivirus oplossingen die het voor zover mogelijk moeten afvangen als je toch in malware trapt.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 21:10]

Martin.Air @Verwijderd • 24 juni 2016 18:22

Vergeet ook niet dat daarom de termijn van 3 maanden hard geforceerd wordt. Dus als je op die lijst komt te staan in jou termijn en je wilt verlengen? Dat is dan weer niet mogelijk, dus dan heb je pech en heb je dus geen certificaat meer.

c-nan @Martin.Air • 24 juni 2016 18:58

Maar revoken doen ze dus niet en dat is mijn hele punt. Dat doet Comodo wel.

Blokker_1999

Internet
Netwerk en systeembeheer

@Verwijderd • 24 juni 2016 18:26

Bijkomend wil LE op termijn zo ver komen dat een certificaar van hen slechts enkele dagen geldig is. Op dat moment maakt het eventueel blacklisten niet meer uit want tegen dat dat allemaal rond is, is het certificaat al lang vervallen.

Armin

Netwerk en systeembeheer

@Verwijderd • 24 juni 2016 19:53

TD:DR; Ze houden sites tegen een lijst van google aan op moment van verstrekken maar blokkeren niet "after the fact".
Ze vinden security iets voor de browserfabrikant, niet voor certificaatboeren.
Als je hun hele verhaal leest valt daar wel wat van te zeggen.

Dat is hetzelfde standpunt als Google heeft, een van hun grote sponsors. Maar die mening is zeker niet onomstreden.

Ikzelf ben het er bijvoorbeeld niet mee eens. Immers een CA maakt zich er wel heel makkelijk vanaf als het enkel uitgeeft en niet achteraf controleert en elke andere verantwoordelijkheid weigert. Nu is LE gratis, dus je krijgt dan wat je voor betaald, maar het gaat ook om de reputatie van een CA en niet alleen van de naam op het certificaat. Door niet te controleren doe je ook af aan de reputatie van de andere certifciaten die je uitgaf.

Dit specifieke punt is dus iets waar Comodo dus wel degelijk (een beetje) gelijk heeft, en een LE certificaat een iets minder vertrouwen geeft betreft identificatie dan sommige concurenten. Aan de andere kant een non-EV certifciaat geeft toch al weinig garanties, dus of dat écht een probleem is kun je betwisten.

sven wiltink 24 juni 2016 16:27

Op het forum van comodo staat een reactie van de CEO (Melih). De manier van reageren vind ik zelf bijzonder...

[Reactie gewijzigd door sven wiltink op 24 juli 2024 21:10]

FragFrog @sven wiltink • 24 juni 2016 16:36

Goede link! Relevant stukje:

Isn't this why we have Trademark laws and courts? If they have right to it then more than happy to comply. But these kind of Intellectual copyrights can't be decided over a forum post or twitter account or trying to get your loyal but "blind" followers to bully another enterprise via their tweets. It won't work! This is not wild west and there are legal framework and courts for these kind of disputes. So lets all stop being the judge and jury and follow the law!

Min of meer: "ze hebben niet alles vastgelegd, en wij volgen gewoon de wet dus wij hebben nu het recht op hun handelsmerk".

Natuurlijk, ze moeten wel iets doen: als uitgever van certificaten zullen ze ongetwijfeld niet blij zijn met een gratis ceritifcatendienst (de directeur gaat nog door daarover te klagen). Het lijkt erop dat ze in hun recht staan, al is het wel een in mijn opinie ietwat sneue reactie. You're not wrong..

sharkwouter @FragFrog • 24 juni 2016 17:39

Helaas voor hem is Let's Encrypt en initiatief van onder andere Mozilla en Google. Als die besluiten dan jouw certificaten niet meer te vertrouwen zijn, zal je nooit meer een certificaat verkopen.

WhatsappHack

Internet
Netwerk en systeembeheer
Let's Encrypt

@sharkwouter • 24 juni 2016 17:57

Dat zou echter de geloofwaardigheid ondermijnen, die stap zullen Mozilla en Google niet zetten. Comodo is immers een prima CA... Die blacklist je niet opeens omdat je een grudge tegen ze hebt vanwege gelazer over een trademark.

Kewne @WhatsappHack • 24 juni 2016 19:12

Een prima CA heeft toch echt minder incidenten. Nee, dit hele gebeuren zou alleen maar de druppel zijn. Misschien niet de meeste relevante druppel, maar het is weer zo'n CEO statement waar je gigantische vraagtekens bij moet zetten, alsof het uitgeven van 90 dagen proefcertificaten echt een grote innovatie van hun is en alsof dat ook maar enige relevantie heeft op wat LE/ISRG aan het doen is. Daarmee zet ik grote vraagtekens of de top van het bedrijf ook maar iets weet van wat ze doen. Moxie heeft hier een paar jaar geleden ook 7 minuten over gepraat.

WhatsappHack

Internet
Netwerk en systeembeheer
Let's Encrypt

@Kewne • 24 juni 2016 19:54

Dat valt heel erg mee. Die incidenten zijn niet zo heel erg; neem eens een kijkje bij VeriSign: https://en.wikipedia.org/wiki/Verisign#Controversies
Daar staan ook een paar foutjes.

En die staan toch echt bekend als een van dé autorithies. Dus het valt allemaal wel mee bij COMODO...

[Reactie gewijzigd door WhatsappHack op 24 juli 2024 21:10]

blaatenator @WhatsappHack • 25 juni 2016 14:06

Comodo een prima CA? Onder welke steen heb jij gelegen? Mijn gevoel en de feiten zeggen dat Comodo van hetzelfde caliber is als Diginotar.
Voordat ze deze stunt uithaalden kon je nog claimen dat ze alleen incompetent waren (alhoewel, die malware suite van ze...), nu zijn ze dus bewust bezig op de rand van het criminele.

WhatsappHack

Internet
Netwerk en systeembeheer
Let's Encrypt

@blaatenator • 25 juni 2016 19:38

De rand van het criminele? Ze opereren juist binnen de wet.
Je kan claimen dat ze op het randje van *onethisch handelen* balanceren, dat is een ander verhaal.

Nah, Comodo is geen Diginotar.

gekkie @FragFrog • 24 juni 2016 16:44

Achja .. ben benieuwd of ze dan gaan piepen als er opgeroepen wordt tot een boycot van comodo. Gok van wel, maarja je mag toch oproepen tot een boycot .. *mompelt iets over in je recht staan en oog om oog tand om tand*

Pietervs @FragFrog • 26 juni 2016 11:24

En dan is er nog zoiets als fatsoen. Je kan iets doen want je weet dat je er mee weg komt. Maar je doet het niet, simpelweg omdat je moeder je geleerd heeft wat fatsoensnormen zijn...

En dan kan die CEO wel wat roepen over "bullying" door de fans op Twitter: feitelijk vervullen die ff de rol van zijn moeder die hem tot de orde roepen omdat hij iets probeert te doen wat je normaal gesproken niet doet als je enig fatsoen in je donder hebt!

eL_Jay 24 juni 2016 16:25

Hopelijk mengt de EFF zich ook in de strijd tegen Comodo.
Speelt 'prior art' ook bij merkenrecht?

zenlord @eL_Jay • 24 juni 2016 16:32

Niet direct, neen: een merk hoeft niet nieuw te zijn, je moet gewoon eerst zijn met je aanvraag. Wat wel (tenminste in sommige jurisdicties) kan, is dat de eerdere gebruiker van een (niet-geregistreerd) merk zich baseert op kwade trouw in hoofde van de deposant. Op die manier kan ofwel de inschrijving van het merk vernietigd worden, ofwel niet-tegenstelbaar geacht worden tegen de eerdere gebruiker.

WhatsappHack

Internet
Netwerk en systeembeheer
Let's Encrypt

@zenlord • 24 juni 2016 17:56

Je moet echter om een trademark te krijgen wel actief zaken doen met dat trademark. Comodo gebruikt vziw nergens "Let's Encrypt!" in hun "tradings". Derhalve zou een bezwaar tegen het trademark waarschijnlijk succesvol zijn.

zenlord @WhatsappHack • 29 juni 2016 11:31

Helemaal niet. Om een trademark aan te vragen en geregistreerd te krijgen is geen commercieel gebruik vereist. In veel jurisdicties is het wel zo dat je ofwel na 5 jaar een bewijs moet voorleggen van commercieel gebruik, ofwel dat je kan verplicht worden om je commercieel gebruik aan te tonen als je je zou beroepen op je rechten ten aanzien van een derde. Gedurende die eerste vijf jaar kan je dus zonder enig commercieel gebruik aan te tonen, derden het gebruik van jouw geregistreerd merk ontzeggen.

WhatsappHack

Internet
Netwerk en systeembeheer
Let's Encrypt

@zenlord • 29 juni 2016 14:02

Dat werkt niet, omdat je tenminste één product met die naam moet gaan gebruiken. Doe je dat niet, dan heb je gelogen over de Intent To Use en breekt de spreekwoordelijke pleuris uit.

zenlord @WhatsappHack • 30 juni 2016 15:01

Over welke jurisdictie heb je het precies? Of lul je maar wat? Dat 'de spreekwoordelijk pleuris uitbreekt' is nu ook niet bepaald het meest juridische taalgebruik, laat staan dat het enige verwijzing bevat naar een sanctie of rechtsmiddel. Het aanvraagformulier bij het EU IPO bevat zelfs geen 'free form field' om een 'intent to use' in te vullen...

Schoenmaker, blijf bij je leest!

Fawn 24 juni 2016 16:30

Forumdiscussie hierover met de CEO van Comodo:
https://forums.comodo.com...-t115958.0.html;msg837411

Samengevat is Comodo hierin het slachtoffer, want Let's Encrypt heeft ten onrechte de vervaltermijn van 90 dagen gekopiëerd van Comodo, aldus de CEO.

[Reactie gewijzigd door Fawn op 24 juli 2024 21:10]

jozuf @Fawn • 24 juni 2016 16:46

Aldus de CEO idd,
De opmerkingen van My1 snijden hout.
Die Melih zit zichzelf alleen maar te herhalen in het topic (en soms zelfs meerdere keren in 1 post). Komt op mij over als schreeuwerigheid met erg slechte onderbouwing behalve dan; "ah wat zijn we zielig, iemand pikt ons idee van 7 jaar terug wat op geen enkele manier uniek is. Daarom mogen we nu de 'complete and utter jackass' uithangen".

[Reactie gewijzigd door jozuf op 24 juli 2024 21:10]

Stranger__NL @Fawn • 24 juni 2016 16:53

In het forum doet de CEO alsof iedere "90 dagen trial' het van Comodo heeft.

Een simpele Googleopdracht toont aan dat McAffee, Windows, Bitdefender en nog veel meer bedrijven 90 dagen hebben. Ik hoop niet dat dat HET argument is van Comodo...

[Reactie gewijzigd door Stranger__NL op 24 juli 2024 21:10]

NoMoreMusic @Fawn • 24 juni 2016 16:54

Zoals terecht door een gebruiker in het forum wordt opgemerkt is er een verschil tussen 90 dagen en daarna moet je betalen voor dat domein (Comodo) of 90 dagen en daarna steeds weer opnieuw 90 dagen gratis (LE).

Haribo112 24 juni 2016 16:28

Waarom heeft ISRG zelf deze merken nog niet vastgelegd?

swhnld

@Haribo112 • 24 juni 2016 16:35

Merken vastleggen kost geld......

Haribo112 @swhnld • 24 juni 2016 16:40

Dat zal best, maar ze hebben sponsoren genoeg en het lijkt me vooral voor een certificaten autoriteit dat niet zomaar iedereen de naam mag gebruiken.

Fireshade @swhnld • 24 juni 2016 16:58

Merk vastleggen kost bijna geen drol.

Blokker_1999

Internet
Netwerk en systeembeheer

@Fireshade • 24 juni 2016 18:22

Om internationaal je merk vast te leggen ben je toch al snel enkele duizenden euros kwijt, zeker als je het op een correcte manier wenst te doen en je laat bijstaan. Geld dat je als stichting beter in andere zaken kan steken.

rob12424 @Haribo112 • 24 juni 2016 18:04

Ik denk omdat ze dachten dat dat niet nodig was. Immers links of rechts om gooien ze hun ramen in:

1. Het is een bedrijf instantie dat om vertrouwen draait: dit zorgt voor een deuk in dat vertrouwen.

2. Google en Mozilla zijn o.a. de oprichters van Let's encrypt. Wat als die bedrijven jouw certificaten blokkeren (afzetmarkt)

Verwijderd 24 juni 2016 16:31

Wat ik niet kan opmaken uit de tekst, maakt Comodo ook gebruik van de term en zoja, sinds wanneer? Als dit pas na 2014 is hebben ze geen poot om op te staan.

StefanJanssen @Verwijderd • 24 juni 2016 16:47

helaas wel, trademark recht is namelijk niet voor de eerste gebruiker maar voor de eerste persoon/instantie die het registreerd

Fireshade @Verwijderd • 24 juni 2016 16:57

Helaas wel. Het gaat om merkrecht, dat is wat anders dan een patent.
Bij merkrecht gaat het er om wie het merk eerst registreert, niet of het al eerder wordt gebruikt door de hele wereld.

FreqAmsterdam 24 juni 2016 16:51

Ik weet niet van de hoed en de rand, maar het zaakje lijkt te stinken. Ik heb zelf wat certificaten bij Comodo, kan ze helaas niet zomaar omzetten... Ik ga ze in ieder geval niet meer verlengen, en daarna elders onderbrengen. Met zo'n partij wil ik niks te maken hebben.

Edit: ben vooral een beetje geschrokken van de rare reactie van de CEO op een publiek forum. Ik dacht dat Comodo een grote professionele club was. Dat blijkt ook een verkeerde aanname. Eens te meer reden om er weg te gaan. Goede start ook, bad PR...

[Reactie gewijzigd door FreqAmsterdam op 24 juli 2024 21:10]

Joop @FreqAmsterdam • 24 juni 2016 18:47

Wikipedia:

As of 24 February 2015, Comodo is the largest issuer of SSL certificates with a 33.6% market share on 6.6% of all web domains.

En er werken meer dan 1000 mensen. Groot zijn ze dus wel, en professioneel ook wel denk ik. Dat de CEO heel bereikbaar is, is ook geen slechte zaak. Zouden meer bedrijven juist moeten hebben.

Dat ze echter proberen die merknamen te registreren is natuurlijk een slechte zaak, en hoe de CEO inhoudelijk reageert ook.

FreqAmsterdam @Joop • 24 juni 2016 20:36

Het ging mij ook om de reactie van de CEO. Als dat de mentaliteit is van de CEO dan weerspiegelt zich dat ook op de rest van de organisatie, en dat is niet professioneel.

Dat het een grote club is weet ik ook wel, dat was het punt van mijn post ook helemaal niet.

tiguan 24 juni 2016 16:56

Ik heb Comodo altijd al een vaag bedrijf gevonden en dit bevestigt het alleen maar. Ook de reacties van die CEO op dat forum, echt kansloos.

Verwijderd @tiguan • 24 juni 2016 17:04

Inderdaad

"Wij hebben het 90 day certificate model uitgevonden, en Let's Encrypt kopieert dat zomaar! Ze hadden ook een willekeurig ander aantal dagen kunnen nemen, maar ze nemen uitgerekend 'onze' 90 dagen!"

Onbegrijpelijk dat een CEO zijn reputatie (en dat van zijn bedrijf) zo te grabbel gooit. Was toch al geen fan van Comodo maar nu zeker niet meer.

Op dit item kan niet meer gereageerd worden.

Comodo probeert Let's Encrypt als handelsmerk vast te leggen - update

Lees meer

Tweakers stapt over op https

IT-banen

Reacties (90)

Sorteer op:

Weergave: