mijn punt was meer de manier van handelen van deze CA. Borderline crimineel te noemen imho
De gemiddelde consument heeft geen idee wat CA's zijn, en daar wel het over collectief vertrouwen hebben, is het certificaat hierin het uitgangspunt: die kennen wel 'allemaal'. Het levert het groene slotje op in de browser.
Met de bewuste uitgifte van onveilige certificaten en zelfs het antidateren, werd het met dergelijke certificaten mogelijk om de transmissie over ssl bv volledig te decrypten.. Of bv als proxy ertussen te hangen zonder veel moeite om de versleuteling ongedaan te maken.
Ik vind dat weinig met vertrouwen te maken hebben. Eerder beschouw ik dit als een social-hack op het CA systeem..
Zeg jij meteen vertrouwen in je PC op als Bioshock HD crash?!?
ik neem aan van niet.. en zo mag je dit denk ik ook zien: het CA systeem werkt, zolang de CA'S inderdaad zich aan de afspraken houden. Lol het gebrek aan controle op de CA zelf kan je dan zien als gebrek aan vertrouwen in het systeem. Het werkt wel, alleen mag je geen partij hebben welke misschien een andere agenda heeft dan puur die controle uitvoeren. Daarnaast zijn het ook de browsers zelf die de SHA1 nog toestaan...
En ja certificaten worden voor veel meer dan alleen https gebruikt, echter de werking is gelijk. SHA1 zou eigenlijk niet meer mogenlijk moeten zijn
En ergens is de design-flaw ook goed te herleiden... diginotar bv, want wie controleerde de CA, en wie doet dat in China (welke graag versleutelde communicatie wil onderscheppen, en zo geven ze zichzelf natuurlijk wel erg makkelijk toegang

)
Een succesvoller verhaal is bv dan dat van RIPE wat ook niet echt een controlerend orgaan heeft maar wel 'goed' zijn ding doet.
Lol, maar als je toch bij je punt van vertrouwen wil blijven dan kan je stellen dat je geen vertrouwen in CA's hebt omdat deze in sommige gevallen eigenlijk geen CA zijn...
Ik vind het eigenlijk juist een positief punt dat Mozilla aan de bel trekt en meld dat de certificaten niet goed zijn, en zijn support intrekt. Er zal nu naar gekeken worden en veel andere browsers zullen volgen!
Want dat was de afspraak: Als je het protocol volgt sta je in de trusted list en anders in de untrusted, en dat is nu precies wat Mozilla doet.
Ik haal het net zelf even aan maar er hoeft geen slechte bedoeling te zijn van WoSign.
Mogelijk wettelijke verplichting waardoor ze niets anders uit mochten geven.
Ze worden nu internationaal niet meer als veilig geaccepteerd, omdat er een duidelijke case is dat ze zich niet aan die afspraken/richtlijnen houden.
StartCom overname zou in bovenstaande scenario een manier zijn om wel Internationale certificaten te kunnen verstrekken.
Maar voor harde straffen moet je internationaal wel heel hard kunnen maken dat er een motief en een echt feit is. Men moet dus aantonen dat er bewust gerommeld is met de certificaten, welke ook in het land van vestiging strafbaar moet zijn, enzovoorts.. Heel ander wespennest.
Echter denken ik dat Mozilla een hele goede indicatie heeft dat er meer dan alleen onkunde/onmacht speelde. China is in dat opzicht wss ook niet heel scheutig met informatie. Als ik dan ook kijk naar alle maatregelen die genomen zijn, zoals het uitsluiten van een auditeur, vind ik dat het gewoon heel goed opgepakt wordt..
Het schaad mijn vertrouwen in het certificaten systeem niet. Sterker nog het is zelfs gegroeid..
Wel wordt het duidelijk het systeem niet 100% waterdicht is tegen een 'sociale' aanval. De kring van root CA's was vervuild en WoSign is dus status als betrouwbaar kwijt. Dit naast de auditeur welke de aanvragede partij voor certificaten en CA-toelating moet toetsen.
Dat een site, welke gebruik maakt van onveilige certificaten, even verminderd bereikbaar is, is spijtig maar ook snel verholpen.
Dat je als site/service doorgaat met onveilige encryptie geeft meer te denken. Evenals gebruik ervan.
Niets weerhoud je er overigens van om zelf de certificaten toe te voegen aan de vertrouwde (en verwijderen uit untrusted) zodat je wel weer de valse hoop van veiligheid/privacy hebt
edit:
iets met toetsenbord mobiel, te veel tekst en autocorrect = 1k typos
[Reactie gewijzigd door Atmosphere op 28 september 2016 00:29]