Abuse Melding

Je hebt een klacht over de onderstaande posting:

07-04-2020, 21:57 door Anoniem

Die laatste twee alinea's betwijfel ik. Op ELKE plek op de verbinding, lees route, tussen de validerende Let's Encrypt servers en een certificaat-aanvragende webserver, kan een aanvaller zich voordoen als die certificaat-aanvragende webserver, en een DV (Domain Validated) certificaat (niet alleen van Let's Encrypt) verkrijgen. Dit betwijfel ik. Er zijn verschillende validatie methoden, en ik ga er even vanuit dat je het nu hebt over een http validatie. In dat geval zal er eerst een transactie tussen aanvrager en letsencrypt plaatsvinden via https. Na deze transactie heeft de aanvrager een token wat hij in z'n webserver moet plaatsen zodat dit ter validatie opgevraagd kan worden. Die validatie zal (omdat het http is) geMITMt kunnen worden, en dan zijn er twee mogelijkheden: 1) De validatie slaagt alsnog (omdat de MITM partij het juiste token heeft kunnen doorgeven) 2) De validatie slaagt niet (het opvragen van het token is om wat voor reden dan ook mislukt) Als de validatie slaagt is er niets aan de hand ...

Beschrijf je klacht (Optioneel):

captcha