was het de us geweest dan 20+ flames,maar nu..?
china is verder weg en mag meer dan de us schijnbaar.

Zo, CNNIC meteen in m'n browser en systeem op 'niet vertrouwen' gezet. :D

Grote kans namelijk dat je in Nederland nooit een Chinees uitgegeven certificaat gebruikt, en als je het gebruikt dat je ook wel weet dat je het wilt gebruiken.

Eigenlijk zou het dan ook wel mooi zijn als browsers en besturingssystemen een optie hadden om alle recent gebruikte root certificaten in te zien, met een knop erbij dat alle andere vanaf dat moment eerst een waarschuwing tonen indien ze gebruikt worden.

Noem het: een persoonlijke PKI firewall.

Het in China censureren van berichten over het feit dat er onterecht certificaten zijn aangemaakt door een Egyptisch bedrijf is nog geen bewijs dat CA CNNIC het met de handelingen van het Egyptische bedrijf eens is of dat zelfs stimuleert.

Censuur van dit voor het CNNIC ongunstige nieuws en de wijze waarop CNNIC als Root CA opereert staan dus los van elkaar totdat het tegendeel bewezen is.
Greatfire.org bewijst die relatie niet en haar berichtgeving is daarmee vooral een manier om aandacht voor iets anders te vragen, namelijk het censureren van de pers in China.
Dat mag maar zou dan een andere artikelvorm dienen te hebben.

Wat betreft de oproep van het intrekken van certificaten, dat intrekken gebeurt wel vaker en terecht.
Echter, wordt er bij andere CA's na een dergelijke fout ook direct het hele root recht ingetrokken? Als dat zo is zou het consequent zijn ook op CNNIC toe te passen.
Is dat niet het geval dan zal ook voor China die afweging zorgvuldig gemaakt moeten worden.

Wellicht een beter systeem is dan gebruikers er op te wijzen hoe zij individueel de mogelijkheid hebben om het vertrouwen in bepaalde (root)certificaten op te zeggen in het geval het vertrouwen wel geschaad is maar nog niet geheel officieel is opgeheven.

Maar ja, sowieso, als je de lijsten aan certificaten doorneemt op je computer of in je browser, zul je vele certificaat/CA 'exoten' aantreffen waarvan je je kan afvragen of je die wel nodig hebt en of het meer veiligheid zou bieden die allemaal pro actief alvast uit te schakelen.

Dan daarbij ook nog even advocaat van de tegenpartij spelend, mocht het nieuwsbericht van Greatfire.org meer politiek gemotiveerd zijn geweest, in hoeverre zijn certificaten/Roots eigenlijk te vertrouwen uit bijvoorbeeld de Five/9/11/.. Eyes landen?

Kortom, welke lat leg je langs de beoordeling van de vele aanwezige certificaten en Root Ca's op je systeem buiten de directe concrete aanwijzing van misbruik?
Zou het je veiligheid aanmerkelijk kunnen vergroten als je proactief een grote kam door die lijst zou halen en een hele groep als untrusted zou markeren?

Nuttige adviezen, tips, inzichten daarbij ?
Ik hoor het graag.

Mijn broertje toen hij nog in China woonde en werkte,had hij laatst een openvpn alle problemen rond censuur opgelost.

Zit je nou te flame op flamers, of is dit gewoon flamebait?

China staat sowieso niet erg goed in de boeken wat betreft mensenrechten en de vrijheid van meningsuiting, dus wat dat betreft kijk ik er niet van op. Als je daar 6 jaar cel kan krijgen voor het laten staan van een baard is censuur één van de minste problemen.

Wat betreft de VS is het meer een reactie op het zeggen van het staan voor stabiliteit en vrijheid, maar het 'doen' van het tegenovergestelde. Vrijheid van meningsuiting is één van de peilers van het rechtssysteem in de VS, maar onder verschillende kaders zoals nationale veiligheid (waar ook de beurs blijkbaar onder valt) wordt er snel gewrikt aan grondwaarden.

China schept zelfs de illusie van zo'n vrijheid niet.Je bent daar zo vrij als dat je kunt betalen.