Een zogenaamde "Trusted"-Third Party (genaamd Verisign, het is
inderdaad de allergrootste) heeft x509 certificaten uitgevaardigd aan 'Microsoft
Corporation' in januari van dit jaar.
Goed zo, zou je denken.
Ik, gebruiker van Microsoft software, kan er op vertrouwen dat de ActiveX
en andere objecten die ik download en installeer op mijn computer, voorzien zijn
van een echtheidscertificaat, waarmee wordt aangetoond dat de
software betrouwbaar is, want afkomstig van Microsoft Corporation (alhoewel
daar sowieso al over getwijfeld kan worden).
En juist de taak die bij de core-business behoort van een TTP, namelijk vaststellen dat de persoon die het certificaat verkrijgt ook
werkelijk de persoon is die wordt vertegenwoordigd door het certificaat, verneuken ze. Ze geven het certificaat
(yep, inclusief private key) uit aan een persoon die
zelfs niet bij Microsoft
werkt.
Fraude! Iemand heeft zich voorgedaan als een
Microsoft werknemer (...) en vervolgens een certificaat verkregen waarmee op 95%
van alle computers in de wereld software kan worden geïnstalleerd die afkomstig
lijkt te zijn van Microsoft, maar dat dus niet is!!!!!!
Het is echt niet te geloven. De commerciële
geldwolven die zich een vertrouwde partij noemen en die een systeem
hebben omarmd waarmee vertrouwenwordt opgelegd (net zoals een heroïneverslaafde telkens weer terug moet
komen bij zijn vaste dealer) zijn dus niet in staat om het werk dat ze moeten
doen ook uit te voeren.
En juist daarmee beschamen ze het vertrouwen dat ik
schijnbaar in ze moet hebben. En groeit bij mij het wantrouwen in hun werkmethodes. Het is alsof je in een restaurant een bestelling doet, eet en
nadat je kotsend het bedorven voedsel in de WC hebt gedeponeerd de rekening
krijgt gepresenteerd. Niet alleen voor het eten, maar ook voor het schoonmaken
van de WC.
Betalen voor vertrouwen lijkt mij per definitie
het meest idiote wat je als mens kunt doen. Volgens mij heeft de geschiedenis al
geleerd dat dat een fout plan is. Waarom is het zo dat een eindgebruiker
voor het verkrijgen van een x509 certificaat geld moet betalen? En waarom zou
dat in godsnaam ook nog eens jaarlijks moeten gebeuren? Omdat initieel het veld
"Validity" (dat onderdeel uitmaakt van een x509 certificaat) vullen
met een datum die in het jaar 2500 ligt technisch gezien niet mogelijk is en je
dus wel elk jaar je certificaat moet verlengen??? Volgens mij is dit pure oplichting.
En hoeveel zou Microsoft betalen voor een
certificaat van Verisign? Zou het misschien zo kunnen zijn dat Microsoft niet
betaalt voor een Verisign certificaat? En dat ze dus ook de service (en
controle) krijgen die
daar bij hoort? En van hoeveel certificaten is nog niet ontdekt dat ze niet te
vertrouwen zijn? Verisign heeft er twee maanden over gedaan om achter dit
probleem te komen, het is een wonder dat ze het überhaubt nog ontdekt hebben.
Saillant detail. Ook GlobalSign krijgt het
voor elkaar om tijdens de aanmeldprocedure voor een persoonlijk certificaat de
invoer (form) pagina via normaal http verkeer op te sturen naar je
computer (== man-in-the-middle
attack mogelijk) en geven als verklaring dat de post
vanaf de pagina wel middels https verkeer gebeurt. Of die post dan naar hun
server gaat of eerst naar andere is schijnbaar niet van belang.
Feit blijft dat het gehele systeem gezien wordt als een electronic commerce aanjager. En volgens mij heeft dat nou net niets te maken met vertrouwen, maar alles met geld. Het is dus een systeem waarvan maar 1 partij echt beter wordt.
Als ik mijn geld moet uitgeven dan weet ik wel beter.
- Leon
Deze posting is gelocked. Reageren is niet meer mogelijk.