Wat is daar nieuw aan? Ik ga er vanuit dat de instanties die
momenteel voor heel veel geld certificaten doen, ook checken
of een aanvrager daadwerkelijk correcte gegevens opgeeft. En
als een browser-beheerder er achter komt dat een instantie
die SSL certificaten uitgeeft, niet geheel betrouwbaar is -
dan knikker je die bij de eerst volgende browser-update
gewoon uit je lijst van betrouwbare SSL root-certificaten.

Dit klinkt als een nieuwe manier om voor veel geld lucht te
verkopen: geef mensen het idee dat huidige SSL certificaten
en oude browsers onveilig zijn door onzekerheid en
angstgevoelens te zaaien en vervolgens rent iedereen om een
nieuw certificaat en een nieuwe browser aan te schaffen
zodat ze ook een mooi groen balkje krijgen. Of het
daadwerkelijk echte veiligheid toevoegd is nog maar de vraag...

Wat is hier nu nieuw aan diginotar doet dat al jaren.

Inderdaad, dit is extra betalen voor zaken die ze al lang al
zouden moeten doen. De markt is verpest door "instant" CA's
die alleen maar de ownership van een domein testen, en een
linkje bevatten naar een Choicepoint website of zo. Het
vertrouwen in certificaten is zoek.

Het is er, bij doorsnee gebruikers althans, nooit geweest. Ze hebben geen flauw benul wat een certificaat is.

En het zou me verbazen als de wat meer ervaren computeraars er ondertussen nog vertrouwen in hebben:[list]
[*]Eerst is ze verteld dat alles in orde is als het slotje wordt getoond
[*]Daarna is ze verteld dat helaas de URL in de bovenbalk op meerdere manieren gespoofed kan worden, en er bovendien plaatjes over het slotje getekend kunnen worden, dus dat je wel het certificaat moet controleren; klopt er iets niet dan moet je meteen de verbinding verbreken! Oh ja, en niet zomaar op plaatjes klikken, dat kan andere gevolgen hebben.
[*]Daarna bleken bedrijven wel erg gemakkelijk certificaten aan hufters uit te delen, zelfs Verisign gaf Microsoft certificaten mee aan een crimineel die zich voor Microsoft medewerkt uitgaf, zie o.a. http://www.security.nl/article/1919/1/Column%3A_Het_is_verdorie_ook_niet_te_geloven.html.
[*]Daarna bleek SSLv2 gewoon lek by design maar verschillende sites waaronder banken bleven het gewoon gebruiken, zie http://www.security.nl/article/11088/1/Internetbankieren_onvoldoende_beveiligd.html en zie mijn reacties over de Postbank en Rabobank in http://www.security.nl/article/12567/1/Encryptie_te_duur_en_lastig_voor_meeste_bedrijven.html
[*]Ook bleken er voortdurend lekken in SSL implementaties te zitten, zowel MSIE, Firefox als OpenSSL bleken defect
[*]Ten slotte is het heel belangrijk dat alles klopt op een certificaat, waaronder dat het niet verlopen mag zijn. Maar dat geldt ineens weer niet voor Authenticode; als je op een verse installatie van XP WindowsUpdate draait moet je voor de grap eens de geldigheidsdatum van de ActiveX plugin checken die je dan moet installeren. Zie mijn (anonieme doch van naam voorziene) bijdrage onderaan http://www.security.nl/article/12290/1/Windows_geldigheid_test_werkt_nu_ook_in_Firefox.html, en zie ook: http://www.thawte.com/ssl-digital-certificates/technical-support/code/:
N.B. mogelijk omdat veel mensen hun ogen niet konden geloven na het lezen van die laatste alinea heeft Thawte dat stukje tekst er direct onder nog maar eens herhaald.
[/list]

En nu komt er iets dat wel goed werkt en het consumentenvertrouwen zal terugwinnen? Droom verder.

Edit: layout verbeterd

Sterker nog Erik. Ik heb eens een website gezien (jouw punt 1) met het
bekende "slotje" maar dubbelklikken erop leverde geen informatie op over
het certificaat of wie deze had uitgegeven. Ik heb daarop de transactie voortijdig beëindigd. Het was niet te zeggen of de website legitiem was of vals (dat mogen ze zelf maar uitzoeken).

Ik kan me goed voorstellen dat er ook zoiets als een
schijn-veiligheidsgevoel ontstaat.

wel slotje maar geen info... denk toch echt dat dat een bug
in je browser was..
of zat je weer eens met lynx op een flash site te browsen?

euh... doen we al jaren bij de uitgifte van VeriSign SSL
certificaten (zowel de secure server ID's en de global
server ID's). Als er eentje niet klopt, krijgt de klant geen
VeriSign certificaat... Dus dit is pure geldklopperij.

Bedoel je daarmee te zeggen dat Verisign nooit een certificaat (code signing in dit geval) aan een niet bestaand bedrijf met de naam [url=http://www.benedelman.org/news/020305-1.html]CLICK YES TO CONTINUE[/url] zou verstrekken?

Wel een groot nadeel aan het nieuwe EV SSL certificaat de kosten!

$ 500,- voor 1 certificaat is een beetje aan de hoge kant :(

De drie parameters die gebruikt worden voor de huidige (en
nieuwe verificatie) methodes (bedrijf, domein en aanvrager)
zeggen helemaal niets over de intenties/werkwijze van een
bedrijf. Alleen dat het bedrijf zou moeten bestaan en dus te
traceren is.
Als dus blijkt dat het uitgifte proces gefaald heeft, dan
moet je daar VeriSign op aan kunnen spreken. Ik weet dat ze
voor SSL certificaten garanties afgeven van tien duizenden
dollars. Mocht je door een fout van VeriSign financieel
schade oplopen, dan kan je daar aanspraak op maken.

Het zou beter zijn als er voor die 'nieuwe' certificaten
meer zaken geverifieerd moet worden dan alleen de drie
eerder genoemde parameters.