Zonder DNS aanval is deze kwetsbaarheid niet zo gevaarlijk. En het voordeel boven geen SSL is de encryptie tussen de site die je bezoekt en je eigen computer. Dus 'Ja' is vertrouw SSL certificaten (ik moet wel toegeven dat ik tegenwoordig controleer of er geen MD5 signature zit in de chain m.u.v. het root certificaat, wat met je browser geleverd wordt en dus veilig is).

Hallo even wakker worden: niet alleen een probleem met het blijven gebruiken van MD5 is aangetoond, maar ook dat de SSL certificaten niet betrouwbaar worden uitgegeven en NIEMAND uit de industrie daar tot op de dag van vandaag bij is opgestaan om publiekelijk veranderingen kenbaar te maken in het trust model. Resellers kunnen nog steeds lukraak certificaten uitdelen. Van de berg onverantwoordelijke CA die MD5 gebruiken hebben er maar 2 publiek wat willen kenbaar maken en de rest probeert zich stil te houden in de hoop dat alles wel een keer over waait. Vertrouwen is bij mij nog altijd gebaseerd op respect, begrip en openheid naar elkaar. Maar de huidige industrie probeert jaar in jaar uit bakken geld te blijven verdienen door zich in een ivoren toren te verschuilen en af en toe wat kruimels naar beneden te gooien om de afhankelijken zoet te houden. Het is meer dan een schande wat men hier uitvreet en vertrouwen durft te noemen!

Ik hoef niet wakker te worden want dat de CA zijn werk niet goed doet is geen fout in SSL. En je moet me nog steeds op een andere site lokken als die ik als URL intik dus zo gevaarlijk is het allemaal niet.

Oke, dus jij gebruikt nooit een vreemde internet verbinding? Je vertrouwd 100% je provider? Jij zal nooit een keertje gebruik maken van een wifidienst?

Ik vertrouw CA's niet en daarmee dus ook geen SSL-certificaten die die bedrijven verstrekken.

Ik lees hierboven iemand die daar een scheiding in wenst te zien. Een CA die zijn werk niet goed doet is geen fout in SSL. Inderdaad, maar de vraag was of we SSL-certificaten nog vertrouwen. Dat gaat niet alleen om een fout in SSL maar over het hele systeem van uitgeven van die certificaten tot en met mogelijke fouten in die certificaten.

Het afdoen als niet zo gevaarlijk vind ik wel erg nonchalant. Je gaat uit van je eigen heiligheid dat je niet bedonderd kan worden, terwijl een groot deel afhangt van zaken die een gewone gebruiker niet eens voldoende kan controleren. Het is absoluut niet moeilijk om een systeem zodanig onder controle te krijgen dat als je de URL van je bank oproept je er via een vorm van man-in-the-middle aanval doodleuk een valse site in beeld krijgt. Veel aanvallen zijn altijd afhankelijk van factoren, maar dat maakt het probleem nog niet minder. Je hoopt alleen dat het minder erg is. Lijkt me niet verstandig om op te gokken, zelfs al vind je jezelf nog zo onaantastbaar.

Ik weet wat een MitM attack is en een CA lost dat juist op. De CA zegt: "Deze site is wie die zegt dat die is".
Tenminste als die CA geen MD5 gebruikt om certificaten te ondertekenen.

Wat is het alternatief dat je voorstelt? De AIVD alles laten controleren en goedkeuren op internet? Moet overal de handtekening van de Koningin op?! Het kan ook nog met het trust systeem van SSL weet je..

Nee, zoals [url=http://www.security.nl/artikel/25884/1/Ongeldig_SSL-certificaat_voor_Mozilla.com_uitgegeven.html]hier[/url] is aangegeven lappen CA's hun eigen regels aan hun laars en verstrekken certificaten aan partijen die daar geen recht op hebben (en dit is zeker niet het eerste incident, zie bijv. Verisign die een certificaat verstrekt aan een bedrijf genaamd [url=http://www.benedelman.org/news/020305-1.html]CLICK YES TO CONTINUE[/url] en code signing certificates aan iemand die zich [url=http://www.microsoft.com/technet/security/bulletin/MS01-017.mspx]voordoet als Microsoft medewerker[/url]).

Hoewel MD5 onmiddellijk en SHA-1 ASAP uitgefaseerd moeten worden, heb ik persoonlijk nog wel vertrouwen in digitale certificaten, zelfs bestaande certificaten die van MD5 gebruik maken (lees eens het -uitstekende- [url=http://www.win.tue.nl/hashclash/rogue-ca/]stuk van de onderzoekers[/url] van de MD5 aanval om te zien hoe complex die was), maar mijn vertrouwen in CA's is tot een dieptepunt gedaald. Ook mijn vertrouwen in browserfabrikanten is flink gedaald: CA's die zich niet aan de voorwaarden voor opname in de lijst met trusted CA's houden zouden ogenblikkelijk verwijderd moeten worden. Het huidige gedoogbeleid ondergraaft het hele systeem, dat trouwens al in gang gezet werd met de "Extended Validation" certificaten, die binnenkort ongetwijfeld door een nog "veel betrouwbaardere" melkkoe zullen worden vervangen.

Hoewel het nog wel beter is dan geen SSL, is het vertrouwen wel erg afgenomen. De combinatie van het MD5 verhaal en het te makkelijk uitgeven door CA's maakt het een stuk minder waardevol.

Maar, misschien de uitzondering in dit verhaal, wat is jullie mening over een organisatie als http://www.cacart.org ? Het uitgeven van certificaten gebeurd daar echt op basis van vertrouwen (je moet punten verdienen door aan vertrouwde personen je identiteit te bewijzen). Enige nadeel is dat het root certificaat (nog) niet in alle browsers zit.

heb 40 keer kunnen invoeren "JA" omdat het script niet goed werkt in Firefox....pruts pruts...

Ik ga effe scripje schijve, kijken wat er gebeurd ;)