Door Anoniem op 3 jan 2009 om 21:57Ik weet wat een MitM attack is en een CA lost dat juist op. De CA zegt: "Deze site is wie die zegt dat die is".Nee, zoals [url=http://www.security.nl/artikel/25884/1/Ongeldig_SSL-certificaat_voor_Mozilla.com_uitgegeven.html]hier is aangegeven lappen CA's hun eigen regels aan hun laars en verstrekken certificaten aan partijen die daar geen recht op hebben (en dit is zeker niet het eerste incident, zie bijv. Verisign die een certificaat verstrekt aan een bedrijf genaamd [url=http://www.benedelman.org/news/020305-1.html]CLICK YES TO CONTINUE en code signing certificates aan iemand die zich [url=http://www.microsoft.com/technet/security/bulletin/MS01-017.mspx]voordoet als Microsoft medewerker). Hoewel MD5 onmiddellijk en SHA-1 ASAP uitgefaseerd moeten worden, heb ik persoonlijk nog wel vertrouwen in digitale certificaten, zelfs bestaande certificaten die van MD5 gebruik maken (lees eens het -uitstekende- [url=http://www.win.tue.nl/hashclash/rogue-ca/]stuk van de onderzoekers ...