Door Erik van Straten: <KNIP> Certificaten zijn gebaseerd op vertrouwen. Maar je hebt twee soorten vertrouwen, en dat snappen mensen niet: 1: Het vertrouwen dat je communicatie niet kan worden onderschept door 3e partijen. 2: Het vertrouwen dat een website (of iemand) zich juist identificeert en betrouwbaar is. Dat 2e is absoluut geen sprake van bij een certificaat: Let's Encrypt geeft ze gratis uit voor alles. Ook certificaat instanties die wel geld vragen doen in principe weinig tot geen onderzoek naar de betrouwbaarheid van de aanvrager. Alleen bij duurde EV (ExtendedValidation) wordt er in elk geval onderzoek gedaan naar de aanvrager: is die gemachtigd om het certificaat aan te vragen voor een bepaald bedrijf? Maar dat zegt nog niet veel: ik kan prima een malafide bedrijf opzetten en dan een certificaat aanvraag doen. Voor enkele zeer gevoelige categorieen moet het volgens mij wel mogelijk zijn om terug te grijpen op overheidscertificaten, met een root certificaat welke ook in handen is van de ...