Strenge eisen voor nieuwe ssl-certificaten

Vanaf januari neemt Microsoft de nieuwe Extended Validation ssl-certificaten in gebruik. Deze certificaten zijn veel lastiger te bemachtigen dan reguliere ssl-certificaten, en moeten daardoor een betere bescherming tegen phishing bieden.

SSL-slot Een site met een ev-certificaat levert vanaf volgende maand eindelijk een groene adresbalk in Internet Explorer 7 op, die gebruikers erop moet attenderen dat hier een betrouwbaar - lees: traceerbaar - bedrijf aan het werk is. Ook Opera 8 ondersteunt de nieuwe techniek al. De richtlijnen om een dergelijk ev-ssl-certificaat te bemachtigen zijn bijzonder streng: de verantwoordelijke 'authorities' als Thawte en RSA moeten bijvoorbeeld verifiëren dat een bedrijf daadwerkelijk bestaat, en dat er daadwerkelijk een bereikbaar vestigingsadres is. Als een aanvraag niet met behulp van openbare bronnen gecontroleerd kan worden, moet er een 'betrouwbaar persoon' op worden uitgestuurd, die onder andere foto's van het bedrijfsgebouw en de receptie mee terug moet nemen.

Het enige probleem lijkt de verspreiding van de nieuwe certificaten te zijn: grotere bedrijven zullen geen probleem hebben bij het bemachtigen van de nieuwe digitale identiteitsbewijzen, maar voor de vele kleine online bedrijfjes zou de rompslomp van een aanvraag wel eens teveel van het goede kunnen zijn. Omdat het systeem staat of valt bij herkenning door een grote groep gebruikers, zou ev-ssl wel eens een moeilijker start kunnen krijgen dan waarop wordt gehoopt. Daar staat tegenover dat de meeste phishers het op grote financiële organisaties gemunt hebben, dus kleine bedrijven zouden een dergelijke extra zekerheid ook helemaal niet nodig hebben. Als het ev-ssl-certificaat onverhoopt toch een grote vlucht neemt, zouden consumenten de bonafide kleine handelaar echter onterecht kunnen gaan wantrouwen; het is in dat geval te hopen dat de bedenkers ook voor de kleine spelers een veilige ev-certificatie mogelijk maken.

IT-banen

Reacties (51)

Verwijderd 27 december 2006 15:14

Als ik er zo snel overheen lees (de .pdf dus) dan is een officiële registratie voldoende, in NL hebben we het dan dus over een KVK inschrijving? (=openbare bron)
Of zie ik het iets te simpel?

we_are_borg @Verwijderd • 27 december 2006 15:18

Dat is te simple een KvK kan iedereen aanvragen en zelfs die kunnen nog wel eens van bedrijven zijn die niet betrouwbaar zijn.

humbug @we_are_borg • 27 december 2006 15:55

Het doel van een SSL certificaat is om te verifieren dat een website is wie de website zegt te zijn. Het is geen garantie dat het bedrijf betrouwbaar is. Dit gaat ook voor deze ev ssl certificaten gelden. Het enige waar naar gekeken wordt is of het bedrijf daadwerkelijk bestaat en er een bereikbaar correspondentieadres is. Voor het eerste deel is in Nederland precies de KvK opgericht. Dat is de enige organisatie die officieel alle gegevens moet hebben.

Een KvK inschrijving en een postbusadres lijken dan ook de minimum voorwaarden om aan deze ev-SSL certificaten te komen. Juist in landen waar de registratie van bedrijven minder goed geregeld is zullen aanvullende acties nodig zijn.

Het verschil met het huidige systeem zit hem dan ook meer in het feit dat je de "goede" authorities makkelijker van de slechte kan scheiden. Op dit moment is een SSL certificaat wat uitgegeven is door bv Tharwte (waar wel controle plaats vindt) vrijwel niet te onderscheiden van een certificaat wat "gecontroleerd" is door een bedrijf wat betaling van de rekening al genoeg bewijs van het bestaan van de klant vindt.

n4m3l355

Bedrijfsnieuws

@we_are_borg • 27 december 2006 15:35

Dat is nou ook net het probleem met dit systeem, het klinkt leuk maar het staat of valt bij de nalevering van de regeltjes. Als RSA of Thawte om wat voor reden dan ook (misschien door de gigantische aanvraag-stroom die nu opgang gaat komen en het dus niet bijhoudt) de regels niet naleeft zegt het nog steeds weinig.
Daarnaast is het nog de vraag in hoeverre dit functioneerd en dat er geen sites zijn die deze functionaliteit gaan immiteren. Tevens Opera ondersteunt het, Mozilla dus nog niet? Ik had dezelfde problemen al met de huidige certificaten op een lokaal netwerk ik hoop dat MS/Mozilla hier toch eens uit komt.

DiedX @Verwijderd • 27 december 2006 15:20

Ik weet niet welke andere instituten jij nog kent?

BlaTieBla @DiedX • 27 december 2006 15:56

Dun and Bradstreet (www.dnb.com) wordt ook als bron gebruikt om bedrijven te verifieren. Alleen niet ieder bedrijf heeft een DUNS nummer.

[BoSS] @BlaTieBla • 27 december 2006 16:56

En daar is de verwarring meteen al compleet. DNB.com zou (voor de onwetenden onder ons) ook het domein kunnen zijn van De Nederlandse Bank, een organisatie die de meeste mensen in Nederland vertrouwen.

Malafide organisaties hebben daarom vaak een naam die lijkt op die van bonafide organisaties, veel internetgebruikers letten niet goed genoeg op bij transacties op internet en zien daardoor het verschil niet tussen DNB.com (geverifieerd) of DNB.nl (ook geverifieerd).

BlaTieBla @BlaTieBla • 27 december 2006 19:47

DUNS is een (soort van internationale) KvK. De consument heeft daar helemaal niets mee te maken. Ze worden geraadpleegd door de bedrijven die de certificaten uitgeven en niet door de gebruiker/bedrijf dat een SSL certificaat aanvraagt. Dus waar die verwarring vandaan komt is mij onduidelijk

the_stickie @BlaTieBla • 28 december 2006 12:03

De Nederlandse Bank hoort een .nl-adres te hebben

Verwijderd @DiedX • 27 december 2006 15:29

Organisaties die kredietwaardigheid beoordelen/controleren bijvoorbeeld. Niet alle bedrijven zijn daar bekend, maar in het algemeen is het ook niet zo moeilijk je daar te laten registreren omdat zulke organisaties 'leven' van het verkopen van zulke data en je registratie dus graag zullen hebben.

Klaus_1250 @Verwijderd • 27 december 2006 15:58

(d) Excluded Subjects. Until additional criteria for validation are defined by these Guidelines, the CA MUST NOT issue EV Certificates to any person or any
organization or entity that does not satisfy the requirements above, including but
not limited to the following:
(1) General partnerships
(2) Unincorporated associations
(3) Sole proprietorships
(4) Individuals (natural persons)
Validation criteria for these organizations or entities will be addressed in the next
major revision of these guidelines.

Voorlopig dus geen ev-SSL certs voor eenmanszaken en VOF's. Gaat dus iets verder als alleen een KVK-inschrijving.

humbug @Klaus_1250 • 27 december 2006 16:26

Alweer een reden om een EV op te richten. Al is het de vraag of deze discriminerende beperking in Nederland juridisch houdbaar is.

PolarWolf 27 december 2006 16:03

Aaah, een nieuwe melkkoe!

Nutteloze techniek om iets op te lossen waar mensen toch al nooit naar keken. Wat een geldkloppende bullshit.

Rex @PolarWolf • 28 december 2006 02:11

I totally agree. Teneerste omdat bij de huidige SSL certificaten iedereen toch maar op OK klikt. Zelfs als een certificaat een fout bevat.
Daarnaast, als je de rabobank of postbank bezoekt en het is een valse site, dan is de adresbalk dus wit, dus veel mensen zullen toch wel denken dat het toch wel OK is. Dus het helpt toch niet (veel).

Countess 27 december 2006 14:50

zeker voor on-line bankieren zou het en stap goede stap voorwaarts kunnen zijn.

de vraag is gaat ev-ssl ook door andere browsers ondersteund worden of is het een MS only product?
(is er wel browser ondersteuning nodig, boven op die voor SSL natuurlijk?)

edit : ok daar net overheen gelezen blijkbaar.
was zelf ook meer gefocust op firefox ondersteuning eigenlijk

Olaf van der Spek @Countess • 27 december 2006 15:51

zeker voor on-line bankieren zou het en stap goede stap voorwaarts kunnen zijn.

Want?
Welk probleem met normale SSL certificaten wordt er precies opgelost?

(is er wel browser ondersteuning nodig, boven op die voor SSL natuurlijk?)

Natuurlijk, wat zou anders het verschil met een SSL certificaat zijn?

VisionMaster @Olaf van der Spek • 27 december 2006 19:38

Een belangrijk probleem waarom wij (wij=academisch hoekje in een internationale federatie) nooit deze certificaten van Thawte en RSA gebruiken is omdat ze ongecontroleerde certificaten tekenen zonder goede controles te doen aan wie ze worden uitgegeven.
Als je betaalde dan kreeg je een certificaat. Nu kan je door de toegevoegde "signing policy" merken dat het om een ev-ssl certificaat zou gaan.

Er is geen verschil met een normaal certificaat op technisch vlak, maar deze certificaten zijn getekent door de CA's met een ev-ssl OID die te controleren is door de browsers.

In de academische omgeving heb je TERENA en de International Grid Trust Federation (www.gridpma.org) die zulke persoonlijke controles uitoefenen op de mensen en beheerders van machines al jaren uitvoert. Deze stricte controle is gewoon nodig om een betrouwbare verbinding op te kunnen zetten tussen twee partijen, voor welk doel dan ook.

mjtdevries @VisionMaster • 29 december 2006 08:05

Vreem dat Thawte en RSA dan blijkbaar zoveel makkelijker een certificaat uitdelen dan anderen dat doen.

Als ik bij verisign een ssl certificaat koop, dan moest it altijd al aan dezelfde eisen voldoen als die nu genoemd worden voor ev-ssl.

Icekiller2k6 @Countess • 27 december 2006 14:53

opera ondersteund het al..? heb je bericht wel gelezen?

Glashelder

@Countess • 27 december 2006 14:53

In het bericht staat dat Opera het ook al ondersteund. Lijkt me duidelijk dus

Fonzie27 @Countess • 27 december 2006 14:54

In het artikel staat ook daty Opera 8 de nieuwe versie gaat ondersteunen dus om je vraag te beantwoorde, nee het is niet MS only

edit, lol, volgende x sneller typen zie ik, enkele waren me al voor

Ik hoop dat de moeizame start uitblijft daar ik het best belangrijk vndt dat beveiliging gewoon goed moet zijn, zeker gezien de toekomst waar men steeds meer online zal afrekenen of bankieren.

DataGhost

@Fonzie27 • 27 december 2006 15:07

Gaat ondersteunen? Al ondersteunt! We zitten ondertussen alweer bij Opera 9.10

Verwijderd @Countess • 27 december 2006 14:54

@Countess:

Opera ondersteunt het al dus die vraag lijkt me beantwoord.

Het is altijd nodig dat er ondersteuning is van de browser, de browser moet de gebruiker immers laten weten adhv het certificaat of hij inderdaad zaken doet met het juiste bedrijf en niet het slachtoffer wordt van phising.

GhandiHarder @Countess • 27 december 2006 14:55

Ik neem aan dat hij ander browsers in het algemeen bedoelt. Lijkt me sterk dat FF achter blijft...

Verwijderd 27 december 2006 16:39

die onder andere foto's van het bedrijfsgebouw en de receptie mee terug moet nemen.

wij hebben geeneens een receptie terwijl we toch een betrouwbaar bedrijf zijn

PolarWolf @Verwijderd • 27 december 2006 18:07

wij hebben geeneens een receptie terwijl we toch een betrouwbaar bedrijf zijn

Dat bepaal jij niet, dat bepaalt verisign vanaf nu

VisionMaster @Verwijderd • 27 december 2006 19:51

Daarom hebben we in de academische hoek mensen waar jij persoonlijk naar toe kan met je eigen paspoort en je registratie formulier. En dat is dan weer netjes verspreid over de hele wereld. En dat ... is iets dat deze commerciele partijen natuurlijk niet kunnen evenaren.

Ze zouden eigenlijk een nederlandse instelling moeten machtigen om persoonlijke visitaties te doen aan de bedrijven die zo'n registratie aangevraagd hebben. Of een kantoor ergens waar je goed door gelicht kan worden. Dan ben je tenminste 1x persoonlijk in contact gekomen met de CA. Dat is iets dat ze moeten op zetten als vervolg stap.

PolarWolf @VisionMaster • 27 december 2006 22:33

Aaah, ja, CAcert bedoel je?

Gaat mij wat te makkelijk. Je wandelt met een "identiteits" bewijs naar iemand toe die ook verder niet gekwalificeerd is om te beoordelen of dat bewijs wel bij jouw hoort. Je herhaalt dat een paar keer om "punten" te krijgen, en als je het slim aanpakt ben je binnen een uurtje ofzo volledig gecertificeerd om certicaten uit te geven, etc. Ja...lekker betrouwbaar. En dan te bedenken dat ze proberen om de root certificaten daarvan in de browsers te krijgen *shudder*

Leuk voor hobbyisten.

BlaTieBla @PolarWolf • 28 december 2006 11:10

@VisionMaster:

@: Hoe groot denk je dat zo'n lijst is? Het zijn alleen maar de "serial numbers" van de uitgegeven certificaten die getekend is door de CA. En dan wel alleen de certificaten die geldig zijn, want de ongeldige certificaten zouden niet meer gebruikt moeten kunnen worden. Iets waarvan ik vind dat de browsers ook wel iets harder in mogen zijn.

kijk zelf eens. http://crl.verisign.com/ daar zitten crl bestanden bij van meer dan 700kB. Als je die iedere keer (iig eens per 24 uur) moet binnen halen dan wordt de user experience wel op de proef gesteld. Zeker voor de mensen met dial-up (en die zijn er wereldwijd nog volop).

_Thanatos_ @PolarWolf • 27 december 2006 22:44

Ja lekker betrouwbaar, iedere halve gek die een paar honderd dollar kan lappen en zo een certificaat krijgt. Nee, dat is pas betrouwbaar

Het hele idee van certificaten is dan ook alleen maar om te proberen te garanderen dat je bent wie je zegt dat je bent. Je kan met noch een gratis, noch een commercieel certificaat garantie krijgen dat de holder bonafide te werk gaat. Voor malafide handelingen zullen de certificaten ongetwijfeld zsm weer ingetrokken worden, maar dat kan CAcert evengoed. Maargoed, garanderen dat je bent wie je zegt dat je bent, gaat uitstekend bij CAcert, omdat verschillende personen die NIET in dienst zijn bij CAcert (en er dus geen belang bij hebben) jouw identiteit willen valideren.

Maar als je dat niet vertrouwt, waarom dan de commerciele jongens wel? Daarvan ken je de werkwijze helemaal niet.

BlaTieBla @PolarWolf • 27 december 2006 23:08

een ssl certificaat intrekken is leuk, alleen zet het in de praktijk geen zoden aan de dijk. Standaard staat windows zo ingesteld dat er GEEN revocation lists voor ssl certificaten worden opgehaald. Dat moet je handmatig aanzetten.

Je kan in de praktijk heel goed een jaar lang met een ingetrokken SSL certificaat werken. Windows clients merken daar niets van.

Een reden om geen SSL CRL te checken is de grote van de CRL lijsten. Je browser/OS moet die CRL ophalen, en dat kost (bij een grote lijst) relatief lang. Een gebruiker ervaart hierdoor hinder en dat wil je natuurlijk niet voor je website.

VisionMaster @PolarWolf • 28 december 2006 10:31

@: Hoe groot denk je dat zo'n lijst is? Het zijn alleen maar de "serial numbers" van de uitgegeven certificaten die getekend is door de CA. En dan wel alleen de certificaten die geldig zijn, want de ongeldige certificaten zouden niet meer gebruikt moeten kunnen worden. Iets waarvan ik vind dat de browsers ook wel iets harder in mogen zijn.

Voor de rest weet ik niet hoe CAcert precies handelt, maar ik kan je garanderen dat de bewijscontrole in mijn omgeving al snel voldoende is.

Even voor de goede orde, als je een certificaat in handen hebt, wil dat zeggen dat jij een controle hebt gehad op jou identiteit, zodat je digitale identeit met je echte identiteit gekoppeld kan worden. Dat moet inderdaad een officieel document zijn. Om er voor te zorgen dat niet iedere jan-boeren-*piep* een valse identieit overlegt zijn er mensen aangesteld die deze controle ter plaatse doet op de universiteiten en andere academische instellingen. In de bedrijfswereld zou dat betekenen dat iemand de openbare instanties afloopt en het bedrijf ook zelf nog bezoekt. Dat alles om de identiteit goed te kunnen koppelen met de digitale versie.

Dat dit vertrouwen schept is pas stap 1. En bij veel mensen is dat al de laatste stap. Daar gaat het vaak mis. Ik vind het zelf niet erg als een crimineel zijn digitale paspoort gebruikt voor zijn handeltje, ik wil alleen wel de tools in handen hebben om hem te kunnen onderscheiden in een blacklist en het twintig keer gelezen certificaat van de <vul je bank in>.nl in een white list. Dit valt allemaal te doen en zorgt voor een veiliger internet, omdat je nu je scheiding kan ordenen. Het enige nadeel is, is dat het voor mijn oma en moeder nogal lastig is uit te leggen...

PolarWolf @PolarWolf • 28 december 2006 12:00

Ja lekker betrouwbaar, iedere halve gek die een paar honderd dollar kan lappen en zo een certificaat krijgt. Nee, dat is pas betrouwbaar

Uh...dat heb ik niet gezegd

Dat is wat mij betreft net zo onbetrouwbaar. Vertrouwen dat je kan kopen is geen vertrouwen. Net zo min dat vertrouwen op basis van mijn mooie blauwe ogen vertrouwen is.

In elk geval is een paar honderd dollar met nog wat voorwaarden nog een beetje een drempel.

VisionMaster @PolarWolf • 28 december 2006 19:25

@BlaTieBla:
Ik vind 700kB niet veel voor zo'n grote CA. Maar goed, dat is erg subjectief allemaal. Zulke bestanden zouden op de achtergrond rustig moeten worden gedownload. En als het de ene dag niet lukt, dan de volgende, want meestal zullen de CRL files zo'n week geldig zijn. Dus tja, ik zie het punt niet.

_Thanatos_ @Verwijderd • 27 december 2006 19:13

betrouwbaar is niet hetzelfde als vertrouwenswaardig.

_Thanatos_ 27 december 2006 19:18

Ok, maar de eindgebruiker moet uiteindelijk ervoor kiezen om een cert-holder wel of niet te vertrouwen. Dan kan NIEMAND anders voor een gebruiker bepalen. Wel kan de vertrouwenswaardigheid vastgesteld/ingeschat worden, maar de gebruiker is degene die de knoop doorhakt.

Dat betekent dus dat de gegevens die gebruikt zijn door Thawte of Verisign of weet ik veel wie om voor hén vast te stellen of de cert-requester betrouwbaar is, ook openbaar moeten zijn.

Stel, Microsoft wil zo'n certificaat. Ik vetrouw Microsoft niet, want ik ken het helemaal niet, laat staan dat ik het ooit heb gezien. Thawte zegt "nee meneer Thanatos, Microsoft is vetrouwenswaardig." Ja dat zal wel, maar laat dan maar es zien waarom je dat vindt. Ik wil dan die foto's en verzamelde gegevens zien, die bewijzen hoe vertrouwenswaardig Microsoft is.

Als dit niet zo is, krijg je wéér een systeem waarbij voor ons bepaald wordt wat wel en niet te vetrouwen is, hetgeen wijst op wantrouwen in de gebruiker. En als zij ons niet vetrouwen, waarom dan andersom wel?...

Fuzzillogic @_Thanatos_ • 27 december 2006 19:25

Groot gelijk. Mij wordt nooit gevraagd of ik Verisign, of een van die vele andere tenten vertrouw. Browserbouwers zouden m.i. minimaal het volgende moeten vragen:

"Wij van Opera/Mozilla/Microsoft vertrouwen Verisign. Wij geloven dat Verisign correct handelt en alleen certificaten uitdeelt aan degene die in de door hen uitgeven certificaten vermeld staan.

Vertrouwt u verisign ook?"

Maar nee. Dat zie ik NOOIT. Natuurlijk kun je al die root-certs eruit flikkeren, maar welke thuisgebruiker doet dat?
Wel schoppen ze een hoop stennis als er een CA is die niet in het standaardlijstje voorkomt, zoals CAcert. Dan weten ze wel doodleuk te melden dat alle certificaten van CAcert NIET te vertrouwen zijn. Mag ik dat alsjeblieft nog zelf bepalen?!

VisionMaster @Fuzzillogic • 27 december 2006 19:56

Hehe, effe een roddel verhaal uit de oude doos, er was eens een mooi root certificaat met Windows 98 en Windows 2000 meegekomen dat getekent was door een fout-persoon. Dat certificaat is er al een tijd uit, maar dat was pas na een update.

BlaTieBla @Fuzzillogic • 27 december 2006 20:05

Het feit dat CAcert niet in je browser zit is dat ze geen geld uit willen of kunnen geven om geaudit te worden en om te lobbyen/betalen voor de toevoeging van hun root certificaat.
Iedere CA moet geaudit worden om alle procedures etc goed in kaart te brengen en om te kijken of ze daar ook naar handelen. Daar zijn 'dure' mensen van bijv. KPMG voor nodig.
Op het moment dat er een audit partij is die zoiets gratis wil doen (en blijft onderhouden, want het is niet 1malig) dan kan CAcert zo toegevoegd worden. De kosten voor het plaatsen van de root in IE is dacht ik iets van 50.000 dollar, dan zijn de kosten vaak niet. Alle andere zaken wel (zoals fysieke en logische beveiliging). kosten een kapitaal.

_Thanatos_ @BlaTieBla • 27 december 2006 22:51

Geldklopperij dus. Machtsmisbruik. Omdat IE de grootste is, komen ze ermee weg om zo'n achterlijk bedrag te vragen. Maar in plaats van dat MS nieuwe issuers met open armen ontvangt, worden ze juist afgeschrikt en worden gratis certificaten zo goed als onmogelijk gemaakt.

BlaTieBla @BlaTieBla • 27 december 2006 23:15

Niet alleen MS. Ook voor FireFox geld dat je eerst moet aan tonen dat je CA geaudit is. De kosten van zo'n audit zijn vele malen groter dan die 'eenmalige' 50.000 die je moet betalen. M.a.w. die 50.000 is iet meer dan een administratief bedrag. Zeker als je dat tegen alle andere kosten afzet voor het draaien van een goede CA omgeving.

Fysieke beveiling, procedures, 7 lagen van (loginsche) beveiliging, scheiding van functie van de medewerkers, etc.

Een CA beheren is iets meer dan een server in een serverruimte zetten. Geschatte kosten voor het opzetten van een trusted CA (voor toevoeging in de hedendaagse browsers en OS'en) varieren tussen de 4 en 5 miljoen euro. Een deel hiervan is eenmalig, maar ook de terugkerende kosten per jaar zijn aanzienlijk.
Je kan je hierbij ook wel voorstellen dat een CAcert niet zomaar dat geld heeft liggen.

Oh ja, het runnen van een CA is over het algemeen nog steeds verliesggevend. Alle groten doen het er dus ook maar 'naast'. Reden hiervoor is dat het bakken met geld kost om het te runnen en de bitjes (het certificaat) bijna niets kost. Je moet wel heel erg veel omzet creeren om uit de rode cijfers te komen. Voor een nieuwe partij zal dat dus erg moeilijk zijn (tenzij het een 'bijverdienste' is).

Je moet wel een hele sterke business case hebben wil je funding krijgen om een CA te beginnen.

BlaTieBla @Fuzzillogic • 27 december 2006 23:35

Wel schoppen ze een hoop stennis als er een CA is die niet in het standaardlijstje voorkomt, zoals CAcert. Dan weten ze wel doodleuk te melden dat alle certificaten van CAcert NIET te vertrouwen zijn. Mag ik dat alsjeblieft nog zelf bepalen?!

Tuurlijk mag je dat zelf bepalen, maar het blijft om vertrouwen draaien. De grote partijen hebben aangetoond dat ze alles goed op orde hebben (al die rapporten zijn opvraagbaar bij de betreffende instanties) en dat ze te vertrouwen zijn met betrekking tot de procedures die ze volgen bij het uitgeven van certificaten.
Tuurlijk kan jij de CA vertrouwen van de systeembeheerder van je werk, maar in hoeverre kan je die vertrouwen? Hoe weet jij dat er nergens een copie van de root sleutels liggen. Als dat een normale server in het netwerk is, dan is fysieke toegang meer dan genoeg om het root sleutel paar te verkrijgen. Op dat moment heb je een probleem, want de uitgegeven certificaten kan en mag je niet meer vertrouwen. En de kans dat die diefstal onopgemerkt blijft is groot. Hoe weet je nu of je inderdaad een SSL verbinding met je intranet server heb? Of met de SSL VPN doos voor telewerken? Het kan immers ook een server zijn die door een hacker is ingericht en een ssl certificaat heeft gegenereerd met het root sleutelpaar.

Daarnaast heeft (iig) VeriSign een maximaal verzekerd bedrag bij problemen met hun certificaten.
Stel dat jij via een SSL verbinding (met een verisign certificaat) op een frauduleuze website terrecht komt en daar financieel negatieve gevolgen aan over houdt. Als dan blijkt dat de instantie die het certificaat heeft aangevraagd niet via de juiste procedures het certificaat heeft verkregen, dan kan je aanspraak maken op een vergoeding van 150.000 dollar (maximaal) geloof ik.

Heb je die garantie ook bij CAcert? Of een andere CA die jij wel wenst te vertrouwen (die van je werk of de buurman)?

Het vertrouwen bij CA's gaat veel verder dan dat je denkt.

Fuzzillogic @BlaTieBla • 28 december 2006 01:12

VeriSign biedt wellicht garantie, maar hoe zit het met die andere bedrijven?

Ja, ik snap heel goed dat vertrouwen en CA's een lastig iets is. Het is ook complex, en je kunt het een leek eigenlijk nauwelijks kort en bondig uitleggen.

Het probleem dat _thanatos_ aanstipt is dat nu de browsers in best wel behoorlijk concrete bewoordingen aangeven dat een Root CA uit hun lijstje wel te vertrouwen is en alle andere niet. Enige nuance lijkt mij toch wel op zijn plaats.

BlaTieBla @BlaTieBla • 28 december 2006 11:34

@Fuzzilogic (01:12)
De root CA's in het lijstje van MS zijn te vertrouwen omdat ze voldoen aan de gestelde richtlijnen (zie ook http://www.webtrust.org/CertAuth_fin.htm) die zijn opgesteld door o.a. de IETF en ANSI. Een vereiste hierbij is dat de CA geaudit moet zijn door een onafhankelijke erkende instantie. Die regels zijn er niet voor niets en gelden wereldwijd (de aard van het Internet)

Dat iemand een andere CA wil vertrouwen moeten ze zelf weten. Ik zou nml wel wat meer info van die partij willen hebben met betrekking tot de inrichting van hun hele omgeving, alvorens ze te vertrouwen.

Zolang een partij als CAcert niet in de browsers terug te vinden is (of wat voor CA dan ook), zijn ze in mijn ogen niet veel meer dan de CA van de systeembeheerder die draait op een PC onder zijn buro. Ik zal dan ook geen gevoelige gegevens over een ssl link sturen die met een CAcert certificaat beveiligd is.

Een postbank gebruiker zal geen melding willen krijgen over een CA die niet in je browser zit. Op het moment dat je als gebruikers (regelmatig) een CA moet toevoegen, dan wordt het een gewoonte. En je weet wat er dan gebeurt..... Dan wordt iedere vraag met betrekking tot het vertrouwen van een onbekende CA (h4x0r CA) met JA beantwoord. Dat is een pad waar je ver vandaan wil blijven.

_Thanatos_ @BlaTieBla • 28 december 2006 21:55

Dat CAcert niet in het lijstje van de browsers zit, betekend niet dat ze niet te vertrouwen zijn. Het betekent ook niet per se dat ze niet vertrouwenswaardig zijn. Ze hebben het geld gewoon niet om zich te laten auditten, maar zegt niks over het slagen of falen van de audit, wanneer ze het wel konden betalen.

Per definitie zeggen dat CAcert minder vertrouwenswaardig in plaats van het het niet betrouwbaar is, lijkt een goeie weg tussen. Maar een certificaat domweg weigeren omdat ze gratis zijn, gaat wel ver. Met dat het uiteindelijk de cert-holder is die wel of niet vertrouwd moet worden! Het certificaat zelf is eigenlijk niet meer dan een sleutel.

Het meest betrouwbare zou eigenlijk self-signing moeten zijn, omdat er dan geen CAcert is die weleens stiekem de private key zou kunnen hergebruiken om jouw SSL-verbinding te kraken. Maarja, dan is de Root CA weer die PC onder het bureau van een programmeur...

BlaTieBla 27 december 2006 15:53

Heeft VeriSign niet de RSA SSL boel opgekocht jaren geleden? Thawte is inmiddels ook al sinds 1999 in handen van VeriSign.

De huidge RSA Secure Server CA wordt nml binnenkort 'uitgefaseerd' en vervangen door een nieuwe VeriSign CA.

Die kunen dus beter vervangen worden door bijvoorbeeld VeriSign, GeoTrust, Entrust of Comodo

TheSiemNL 27 december 2006 15:53

Foto van de receptie!
Leuk, postbus in een bedrijfsverzamelpand met doorbelnummer en je bent er. En als particulier met je woonhuis in een database.
Moet niet vreemder worden. Dieven pak je er toch niet mee.

PipoDeClown 27 december 2006 18:10

heb je ooit wel eens onderzocht naar hoeveel sites inclusief derde partijen een hotmail site of live site linkt als je in wilt loggen?

VisionMaster @ottovds • 27 december 2006 19:48

AFAIK gebruiken ze standaard certificaten die iets extra's mee getekend krijgen van de CA. Meer zou het niet moeten zijn, want anders kan het geen ssl-certificaat meer noemen. Dus de browser(s) letten er op of de Thawte of RSA dit extra dingetje heeft meegetekend.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (51)

Sorteer op:

Weergave: