Abuse Melding

Je hebt een klacht over de onderstaande posting:

31-12-2008, 16:01 door Bitwiper

Hoewel ik het nog gebruiken van MD5 geenszins verdedig, is het vervalsen van een daarmee ondertekend certificaat nog niet zo heel simpel. De [url=http://www.win.tue.nl/hashclash/rogue-ca/]huidige aanval (een uitstekend stuk trouwens) werkt alleen door een speciaal geprepareerd certificaat ter ondertekening bij RapidSSL aan te bieden, en het na ondertekenen te wijzigen in een intermediate CA certificaat. M.a.w. niet alle op MD5 gebaseerde certificaten zijn gekraakt, zeker bestaande eindgebruiker certificaten niet. Ik ben ondertussen van mening dat de [url=http://www.security.nl/artikel/25884/1/Ongeldig_SSL-certificaat_voor_Mozilla.com_uitgegeven.html]uitgifte van certificaten zonder enige validatie een veel grotere en bewezen realistische bedreiging voor het Internet vormt. Jammer dat deze op winstbejag gebaseerde issue nu ondersneeuwt onder een technologisch probleem dat met betrekkelijk eenvoudige middelen is op te lossen (blokkeren van met MD5 ondertekende intermediate certificaten).

Beschrijf je klacht (Optioneel):

captcha