Dat kunnen ze wel zeggen dat de webserver losstaat van de rest, maar bij HBGary Federal, 1 van de meest beruchte hacks van 'anonymous' werd uiteindelijk het bedrijf wel gehackt door een inbraak op de webserver, waar uiteindelijk ook allerlei e-mail bleek te staat, waarmee via een beetje social engineering nog veel grotere schade werd gedaan.

Het is een lastige situaties voor de CA's. Ze moeten rekening houden met een verhoogde dreiging, maar tegelijk willen ze natuurlijk ook zaken blijven doen. En de klanten kunnen uiteindelijk ook niet zonder certificaten, want het is wel een vitaal onderdeel van de SSL techniek.

Op zijn minst zou een lijst kunnen worden aangelegd van 'critical' domains waar je als CA nooit certificaten voor mag uitgeven zonder handmatige tussenkomst. Zoiets lijkt me toch redelijk snel in te bouwen als blocklist in de core van de modules die de ondertekening uitvoeren. Het moet dan gaan om domeinen van belangrijke software zoals operating systems, browsers, search engines en webmail. Een dergelijke lijst zou misschien bijgehouden kunnen worden door het convergence project.

@iamhere CPF Certificate Policy Framework als het SPF zou een optie kunnen zijn. Dat is eigenlijk wat google intern in chrome doet en wat de bal heeft doen rollen.

SPF is enorm waardeloos.

Waarom?

Op de wat langere termijn kun je allerlei zaken bedenken en nieuwe levels invoeren in SSL en andere encryptie applicaties. Waar ik alleen even aan zat te denken is dat CA bedrijven (het liefst natuurlijk samen) momenteel even een lijst zouden kunnen invoeren van domeinen waar ze in ieder geval niet automatisch certificaten voor verlenen en die zo dicht mogelijk bij de bron inbakken. Een aspect van de huidige problemen is dat CA bedrijven nu naar willekeur certificaten kunnen aanmaken welk domein het ook betreft.

Als er alleen al wordt gecheckt of het aangevraagde domein misschien niet al een certificaat heeft lopen bij een andere partij en of het wel tijd is voor vernieuwing van het certificaat, dan heb je al een flinke dam opgeworpen voor grootschalige inbreuken. Alleen moeten die maatregelen dan niet vanuit het oogpunt van gemak weer makkelijk ongedaan gemaakt kunnen worden door personeel van het bedrijf zelf.

Das errug informatief... waarom is het waardeloos?

Als dit policy framework het heeft kunnen triggeren dan heeft het dus zeer zeker toegevoegde waarde..Vaak zijn het ook de simpele dingen die het toegevoegde waarde geven..