Dat een certificaat kan worden gebruikt om "de authenticiteit van een website te garanderen" is natuurlijk grote onzin. Door dit soort onzin draagt deze factsheet alleen maar verder bij aan de bestaande verwarring. Zo krijgen we PKI niet veiliger!
Voor degenen die nog steeds denken dat, als webserver een certificaat kan presenteren, daarmee de authenticiteit van die webserver is aangetoond, presenteer ik hierbij het certificaat van
https://www.ncsc.nl/:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Als je bovenstaande tekst selecteert, kopieert, in kladblok plakt, op je bureaublad opslaat als www.ncsc.nl.cer, en er dan op dubbelklikt, kun je zien dat dit het certificaat is van die site en dat deze nu op security.nl staat. Ik kan dit certificaat natuurlijk ook zonder problemen als een
server-certificaat op een webserver installeren en daarmee www.ncsc.nl proberen te spoofen.
Er is maar één reden waarom dit niet goed gaat werken, nl. omdat bezoekers een certificaat foutmelding zullen krijgen. De reden daarvoor is dat ik de
private key behorende bij het bovenstaande certficaat niet in m'n bezit heb.
Een certificaat toont slechts aan dat een "naam" (hostname in het geval van een SSL certificaat) bij een public key in dat zelfde certificaat hoort. Niks meer en niks minder.
Overigens heeft NCSC haar server wel goed geconfigureerd, zie
https://www.ssllabs.com/ssltest/analyze.html?d=www.ncsc.nl.
Hoewel er in de NCSC factsheet eindelijk wel eens wat valt te lezen over private sleutels, is het duidelijk dat we nog een lange weg te gaan hebben...
20120928 0830 correctie: www.ncscn.nl --> www.ncsc.nl, woordje "in" ontbrak en een italics code gerepareerd. Opmerking: als je kopieert en plakt in kladblok/notepad krijg je 1 of enkele lange regels (oorzaak is dat security.nl kennelijk uitsluitend LF (LineFeed) kakakters gebruikt in plaats van de in de Microsoft wereld gebruikelijke CRLF voor regeleindes. Dit maakt echter niet uit, als je uit kladblok opslaat is het certificaat nog steeds correct.