@Erik van Straten Je begrijpt het niet helemaal denk ik. Als je ergens in het midden zit, kun je je voordoen als de domeinhouder. Het gaat om de wijze van authenticeren bij de aanvraag van het certificaat. Als dat werkt door met een domein te communiceren, kan een MitM zich voordoen als dat domein (bijvoorbeeld als de locatie van de MitM dicht bij het doel aanwezig is). Reputatie van een domeineigenaar heeft weinig te maken met het aanvragen van een certificaat als MitM. Ik begrijp niet waarom je dat erbij haalt. Forward secrecy verandert er ook niets aan als er met de MitM gecommuniceerd wordt, met een nieuw certificaat. Identiteit kan eenvoudig worden vervalst. Zeker iemand die in staat is een MitM aanval te plegen heeft waarschijnlijk ook meer mogelijkheden om dat af te vangen. Wat er moet gebeuren is dat er via diverse kanelen bevestiging plaatsvind. Dus niet alleen via internet, maar ook per post, identificatie van de persoon. Het gaat dan niet zozeer om die identificatie zelf, maar wel om de ...