Gepubliceerd: Vrijdag 16 januari 2009
De Nederlandse overheid raadt bedrijven af om nog langer MD5 ssl-certificaten te gebruiken. Bestaande toepassingen moeten zo snel mogelijk worden uitgefaseerd.
Toon volledig artikel
Een ssl-certificaat moet bezoekers het vertrouwen geven dat het webverkeer correct wordt versleuteld. Daarbij wordt bij extended validation (EV) certificaten ook de identiteit van de uitgever van een site gecontroleerd.
Dat is niet waar. De identiteit van de uitgever wordt altijd geverifieerd. Kan de handtekening van een als vertrouwd aangemerkte CA niet worden geverifieerd, dan krijg je een waarschuwing dat je wellicht met een rogue website bent verbonden.
EV is een truukje van VeriSign om voor een praktisch even veilig x509-certificaat meer geld te vragen.
Tegenwoordig zijn er ook "goedkope" certificaten. Daarbij wordt alléén de juistheid van het domein gegarandeerd. Wie de eigenaar van dat domein dan is, dat blijft in het midden. Het enige dat je dan als gebruiker zeker weet is dat de pagina op je scherm van domein xyz.abc afkomstig is, en dat het verkeer niet afgeluisterd kan worden.
Ideaal voor phishing dus. Stel je hebt het domein rab0bank.nl, dan kun je gewoon een certificaat aanvragen voor dat domein. De bezoeker zit dan een mooi geel balkje en een slotje in zijn browser, als teken dat het beveiligd is, en denkt dat het in orde is...
Ik heb dan nog meer vertrouwen in bijv. CACert, die geven tenminste alleen certificaten aan geverifieerde natuurlijke personen.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
