Abuse Melding

Je hebt een klacht over de onderstaande posting:

16-01-2009, 11:05 door Anoniem

Goed leesbaar stuk van govcert.nl. Helaas zit er een verwarrende uitspraak in. Het lijkt net alsof je als website houder een nieuw op SHA-x gebaseerd certificaat kan nemen en dat je dan veilig bent. Dit is dus niet waar. Je moet wel zo'n nieuw certificaat hebben natuurlijk, maar in eerste instantie helpt dat niet tegen deze aanval. Er staat duidelijk dat de aanvaller (zodra die nieuwe aanval echt lukt dus) een certificaat voor elke website ter wereld kan maken. Kortom, al heb jij een nieuw certificaat, dan nog kan de aanvaller een ander certificaat op dezelfde URL aanmaken. Jouw browser ziet geen onregelmatigheden, dus die keurt dat gewoon goed. Pas als alle rootcertificaten SHA-x gebaseerd zijn, en alle website- en overige CA-certificaten zijn SHA-x gebaseerd, EN de browsers blokkeren automatisch MD5 certificaten, dan is het weer veilig v.w.b. deze aanval. Kortom, website houders. Wel vervangen, maar oefen veel druk uit op CA's en andere websites om ALLE certificaten te laten vervangen, en vervolgens ...

Beschrijf je klacht (Optioneel):

captcha