Is een Extended Validation Certificate niet de oplossing nu ze stoppen met PKIoverheid TLS-certificaten? Zeker. En waar moet je voor opletten als je straks inlogt op DigiD? eerst de SHA-1 checken van de TLS-certificaat? Je browser kan zelf bepalen of een certificaat veilig is waardoor je niet de hash zelf hoeft te checken. In je browser worden alleen certificate authorities toegevoegd die aan hoge veiligheidsnormen moeten voldoen, op last van de security gemeenschap, maar ook van de bigtechs. Als een authority geen goede veiligheidsnormen heeft kan google de authority uit de browser halen. Alleen certificaten die gesigned zijn door deze specifieke authorities zijn geldig binnen een timeframe. Met deze set aan vertrouwde authorities kan jouw browser automatisch bepalen of een certificaat te vertrouwen is en hoef je dus niet zelfstandig de hash te checken. Mogelijke aanval scenario's: 1) Malware voegt een eigen certificate authority toe aan je browser. Maar goed, als malware een cert-authority op je pc ...