Je hebt een klacht over de onderstaande posting:
Door Erik van Straten: Beetje overdreven reactie van Ryan Sleevi. Alle software die certificaten checkt (waaronder webbrowsers) zouden certificaten, die niet voldoen aan de huidige minimale criteria (te korte public key, verouderde hash, te kort serienummer etc). simpelweg moeten weigeren. Niet alle checks lijken mij overgenomen te kunnen worden door browsers. Daarom is het belangrijk dat het uitgifte proces van een CA goed verloopt. Als ze dit al fout doen, wat is er dan nog meer mis? [1] Inderdaad, softfail is onzin, stapling met mandatory check had de standaard moeten worden - maar Google ging voor snelheid boven security (https://www.imperialviolet.org/2012/02/05/crlsets.html). Je schrijft terecht dat OCSP stapling de standaard zou moeten worden, gelukkig kan dat al met de must-staple certificaat extensie (die vzviw alleen Firefox snapt). Zou mooi zijn als bijvoorbeeld de NCSC richtlijnen must-staple gaan aanbevelen, dan zal het hier in Nederland ieder geval overgenomen worden.
Beschrijf je klacht (Optioneel):