Je hebt een klacht over de onderstaande posting:
Door Erik van Straten: Alles maar standaard laten dan? En met z'n allen de TS bashen? Als SNS is gestopt met OCSP stapling, heeft de TS gelijk dat dit een achteruitgang is: de bank verschuift zo het probleem van een niet bereikbare OCSP-server (van de certificaat-uitgever) naar de klant. Waarbij "niet bereikbaar" ook kwade opzet van een derde kan zijn. Wat je wellicht gemist hebt is dat de TS zichzelf in deze situatie gemanouvreerd heeft door alleen connecties naar een beperkte lijst IP adressen toe te laten, waar de OCSP server buiten viel. Dat is een oplossing die notoir onbetrouwbaar is omdat je van "een website" niet kunt weten welke adressen die allemaal gebruikt door alleen naar de start-URL te kijken. En als je met veel moeite bij elkaar hebt geschraapt welke adressen bereikbaar moeten zijn kan er daar 5 seconden later een bijkomen. Tuurlijk is dat een beetje zorgwekkend mbt de veiligheid, maar het is hoe het web werkt (al vanaf de eerste site van Tim Berners-Lee!) en dat is iets waar je min of ...
Beschrijf je klacht (Optioneel):