In https://infosec.exchange/@ErikvanStraten/112914047006977222 en twee follow-ups beschreef ik de uitgifte van waarschijnlijk 34 certificaten door Let's Encrypt aan cybercriminelen op 23 juli 2024. Daarvan heeft Let's Encrypt er, ca. 6,5 uur later, 27 stuks ingetrokken (waarom de overige 7 niet, is mij een raadsel). Dat gebeurde op exact dezelfde dag dat Josh Aas (van Let's Encrypt) -met een snel groeiende neus- zei "in uw belang" te gaan stoppen met het ondersteunen van OCSP (zie https://www.security.nl/posting/851286/Let%27s+Encrypt+stopt+wegens+privacyrisico%27s+met+OCSP-support). For (their) profit, not for (your) phun In die serie van 3 toots beschrijf ik bovendien hoe Big Tech (met Google voorop) internetgebruikers heeft misleid door te "bewijzen" (*) dat EV-certficaten slecht waren, omdat gebruikers daarmee misleidende identificerende informatie in de adresbalk van hun webbrowser te zien konden krijgen. (*) Aan de hand van één, door Google onderzoekers gecreëerd, "incident" met de onterechte ...