Een paar dagen geleden riep er nog iemand in een artikel
hier dat digitale handtekeningen de oplossing zou zijn. Ik
geloof ook dat ik 'toen' al hiervoor waarschuwde.

Dat is ook helemaal niet waar, het geeft inderdaad aan dat
de software niet is veranderd sinds het is uitgegeven door
de maker, maar het vertelt je niets over de betrouwbaardheid
van de maker.

Tja, dan blijft er nu nog alleen Strong authentication oaver, zoals die van
RSA of VASCO. Maar je, veel bedrijven vinden dat de moeite niet waard.
Binnen ons bedrijf kan ik mij absoluut niet meer voorstellen dat we zonder
Strong authentication werken.

Waarom zou ik het principe SSL uberhaupt vertrouwen? Wie zijn die
bedrijven zoals Thawte die zeggen dat we hun moeten vertrouwen. Er zijn
meer van dit soort incidenten geweest en hiermee wordt opnieuw
aangetoond dat SSL leuk is voor encryptie maar verder ook niet.

Nee, maar je moet ook de intrekkingen van certificaten in de
browser configureren. Het is weliswaar geen hoge
beveiliging, maar kan uiteindelijk de eindgebruiker beter
beschermen tegen dit soort praktijken.

Ehmm... Het gaat hier over een certificaat voor het digitaal ondertekenen van software.. Niet om SSL of (gebruikers) authenticatie..

http://www.microsoft.com/whdc/winlogo/drvsign/drvsign.mspx

Grappig dat CRL checking voor SSL certificaten standaard uit
staat bij IE (weet niet of dit bij FF ook zo is).
Overigens let ik (ook) te weinig op wanneer er digitally
signed apps/drivers/whatever voorbij komt, maar wordt daar
standaard wel de crl van geverifieerd? User certs in ieder
geval weer wel.

Je hebt gelijk, maar of het nu gaat om signen van certificaat voor "secure"
browsen of dat het gaat om signen van software: het gaat over hetzelfde
principe. Een certificaat wordt ondertekend door een Trusted Root, in dit
geval Thawte.

Ik wist trouwens niet dat certificaten alleen zouden worden uitgedeeld aan
nette bedrijven? Dat spyware bedrijfje heeft gewoon netjes alles ingevuld
en verklaart wie zij zijn. Dat ze daarna dan foute software signen...dat is het
manco hiervan!

Zo dit lijkt me genoeg reden om de vorige stelling helemaal te verwerpen

deze spyware is 100% spyware vrij..

En toch hecht ik waarde aan een certificaat. Dat neemt niet
weg dat ik niet als enige wil vertrouwen op een certificaat.
Ik hanteer meerdere beveiligingslagen (defense in depth) en
een certificat is er een van. Toch vreemd dat een
spywarefirma (Newtech) een organisatie wenst te zijn die
gericht is op continuïteit. Dat zal vast gericht zijn op het
verstrekken

Dat Thawte hier in de fout gegaan is zegt mij twee dingen:
- Thawte maakt ook fouten (maar wie niet?). Ze moeten wel
oppassen dat ze niet te vaak dit soort fouten maakt (maar
hoe weet ik dat?)
- Thawte is bereid een bepaalde mate van openheid te geven
(dat is in securityland bepaald geen sinecure -zie eerste
punt.) In feite betekent dat ze zelf hun interne processen
en vertrouwen in de eigen organisatie goed op orde moeten
hebben. Anders durft een org niet dergelijke info te
verstrekken. Het open-source principe dus. Maar ook hier
geldt dat de mate van openheid een balanceeract is.
Concluderend: als ik kijk/zoek op de website van Thawte, dan
vind ik niets over Gromozon of Newtech. De combinatie van
beide observaties slaan in dit geval door naar het
negatieve: ik zal Thawte in het vervolg niet meer het
voordeel van de twijfel geven. Bekende sites met een Thawte
certificaat: prima, maar onbekende sites (met certificaat)
zal ik niet meer bekijken.

In the end gaat het om de grootte van het risico en met zo'n
certificaat is het risico veel kleiner. Maar zoals met alle
risico's in de IT: uitsluiten lukt bijna nooit en je moet
een beetje op de hoogte blijven van de actuele zaken.