Door Anoniem: Door Anoniem: Je kunt iedere certificeringsinstantie om de tuin leiden als je de DNS van een domein kaapt.
Nee, niet iedere.
INDERDAAD kun je certificeringsinstanties
die DV certificaten uitgeven (Let's Encrypt certificaten zijn ook DV certificaten) "om de tuin leiden als je de DNS van een domein kaapt".
Exact om die reden voegen DV-certificaten nauwelijks tot niets toe aan de onbetrouwbaarheid van DNS.
Maar dit geldt
NIET voor certificeringsinstanties die
ANDERE dan DV certificaten uitgeven (waaronder non-EV PKIoverheid certificaten)!
Server (SSL/TLS) certificaten waren oorspronkelijk
juist bedoeld om
niet afhankelijk te zijn van DNS en van de routering van IP pakketjes. En
daarnaast (dus
aanvullend) was de insteek dat certificaten zekerheid zouden bieden over
de organisatie achter de server waar jouw webbrowser mee communiceert.
Beide aspecten zijn compleet om zeep geholpen door uitgevers van DV certificaten (gedreven door naïeve klanten die voor een kwartje of minder op de eerste rij willen zitten)
en door de makers van webbrowsers, die informatie over de organisatie achter een domeinnaam -helaas-
steeds minder (in plaats van juist meer) toegankelijk maken voor eindgebruikers (wellicht omdat DV certificaten technisch lastig tot geheel niet van andere non-EV certificaten te onderscheiden zijn, maar vermoedelijk ook omwille van de vereenvoudiging van gebruikerinterfaces en om kleinere portable devices te kunnen ondersteunen).
Om het anders te stellen:
ALS DNS en end-to-end routering altijd 100% betrouwbaar zouden zijn
en als ook leken uit elke domeinnaam zouden kunnen opmaken van welke organisatie de server met die domeinnaam is [*], had TLS helemaal geen certificaten nodig. Want om een webbrowser en een server veilig (over een nog onversleuteld, dus afluisterbaar) kanaal een symmetrische sleutel te laten overeenkomen waarmee de rest van de sessie word versleuteld (zodat afluisteren niet mogelijk is), wordt tegenwoordig
ook geen certificaat meer gebruikt. Best current practice (i.v.m. forward secrecy) is namelijk om daar de Diffie-Hellmann key agreement voor in te zetten - waar, zoals gezegd, geen certificaat bij aan te pas komt.
[*] Zoals
wel het geval is bijvoorbeeld bij security.nl, maar
niet bijvoorbeeld bij ics.nl (die niets met ICS Cards te maken heeft) of bij digi-d.nl (die niets met digid.nl te maken heeft).
Hoe naïef kun je dan zijn om te stellen dat DV-certificaten nog enige waarde hebben. Terwijl ze in de praktijk vooral een vals gevoel van veiligheid geven, "geholpen" door crappy browsers die ook "secure" tonen bij 15000 op Paypal lijkende nepsites met Let's Encrypt certificaten.
Toegegeven, er gaan ook dingen mis met "betere" certificaten, en daar moeten we bovenop zitten - maar iets beters hebben we nou eenmaal niet. Slechter wel; bij mijn weten zijn er geen 15000 non-DV certificaten uitgegeven voor nep Paypal sites of andere banken.
Verdiep je eens in nonrepudiation of droom lekker verder met je gratis speelgoedcertificaatjes.
De markt bepaalt, de klant volgt en kiest hooguitHet is onzin de klant te verwijten voor een dubbeltje op de eerste rang te willen zitten.
De klant kan alleen kiezen uit het aanbod en dat goedkoopste dubbeltje is heel relatief.
Want waarom nu ineens EFF de schuld geven van alles omdat het dubbeltje een dubbeltje is geworden nadat het dubbeltje een geeltje was?
Er spelen twee problemen.
1) Een overcommerciële markt die prijzen rekent voor producten die niet gerelateerd zijn aan de kostprijs maar aan wat de gek ervoor geeft en winstmaximalisatie.
Certificaatbeheer en uitgifte met controle lijkt me een nogal administratieve kwestie dat heel goed op basis van uurloon en personeelskosten voor een redelijk tarief valt aan te bieden.
Als je bijvoorbeeld kijkt naar de uitgifte van e.v. certificaten en de werkelijk idioot hoge verschillen tussen verschillende merkjes en aanbieders en achterlijk hoge prijzen van de duurste in de markt (Symantec) dan is de aanname van een volledig uit de hand gelopen commerciële markt heel dichtbij.
Het is absurd om bij een volkomen uit de hand lopende commerciële markt degenen zwart te maken die daartegenin gaan en producten voor een fair prijs gaan aanbieden.
Wees eerlijk en kijk naar wat er zich afspeelde voordat goedkope aanbieders zich met deze markt gingen bemoeien.
De schuld ligt bij de aanjagers binnen een vercommercialiserende markt zelf.
Dat is een pest want maakt security alleen beschikbaar voor een elite, de elite met voldoende cash op zak.
Security hoort geen kwestie te zijn van de elite met voldoende geld.
2) Iets anders dan een fair prijs berekenen voor werkelijk gemaakte (faire) kosten aan administratiekosten is de kwaliteit van je product.
Uit je verhaal valt op te maken dat er technisch iets fout gaat, dat er in dit controle en implementatie proces essentiële stappen worden overgeslagen.
Net zoals bij software dat periodiek gaten vertoont en gepatcht dient te worden zou je datzelfde idee kunnen toepasen op certificaatverstrekking: mankementen aan het producten dienen te worden gerepareerd.
Het lastige is natuurlijk dat de markt van dv certificaten groot is en het daarom een onbegonnen zaak lijkt dit aan te kaarten, waar moet je beginnen?
Nou, misschien niet op dit forum.
Dat is wel zeker.
Maar zoek een grote aanbieder van die certificaten die invloed kan hebben.
En hee, die is er ook!
In plaats van in navolging van de gevlogen stenenbakker een ideële organisatie proberen zwart te maken kan je ook iets heel veel constructievers doen met de specifieke inhoudelijke kennis / inzichten die je hebt / schijnt te hebben
Namelijk, EFF benaderen en ze er in een redelijk en begrijpelijk uitgebreid stuk erop wijzen waar hun product mankementen vertoont en welk gevaar dat voor de algehele markt oplevert.
Want kennelijk moet er wat gerepareerd worden in die wijze van verstrekking.
Mits het verhaal positief inzichtelijk en goed 'verkocht', namelijk in de vorm van kansen die men zou moeten grijpen, heeft dat dus voordelen.
Voordelen voor EFF, want het is het doel van die organisatie SSL voor een breed publiek mogelijk te maken en niet iets aan te bieden dat ze tegelijkertijd mede helpt stuk te maken (als ik je verhaal goed genoeg begrijp).
Het aardige is dat EFF een grote speler is geworden en dus veel positiefs in die markt kan betekenen door haar product spoedig te gaan verbeteren.
Dat kan dan misschien betekenen dat het niet meer gratis kan omdat de administratie en beheer ervan toch kosten met zich meebrengt, maar dat zal dan altijd nog heel veel lager en aantrekkelijker zijn en kunnen dan de rattenprijzen die een rattenmarkt zichzelf toerekent en toe-eigent.
En daar was het EFF waarschijnlijk om te doen, een uit de hand gelopen commerciële markt voor en van de elite openbreken door gratis tegenover absurde prijsstellingen te zetten.
Wat jij dus beter kan doen (als je niet ook de stenenbakker bent die tot over zijn oren in dat andere systeem zit) is EFF benaderen in plaats van hier te klagen en zwart te maken.
EFF uitleggen hoe het technisch goed hoort te werken en waarom EFF daar nog niet zit.
Leg uit dat eventuele kosten misschien het model van geheel gratis in de weg staan maar dat het zou kunnen opleveren een sterker en betrouwbaarder imago.
Want een gemankeerd product aanbieden (als het waar is wat je zegt) is natuurlijk inderdaad slecht voor je imago (tenzij niemand begrijpt en geïnteresseerd is waarom het product niet optimaal functioneert).
Op deze manier stel je EFF is staat zowel haar 'openbreek functie' te behouden alswel de extra kans te grijpen weer iets goed neer te zetten in die DV markt en zich van de rest die dat niet doet te onderscheiden.
Afzeiken van een ideële organisatie met halve argumenten op een securityforum in een of ander mini ruk landje, ja nee, daar ga je niets mee bereiken.
Behalve je eigen superieure inzichten gelijkje (totdat je op je eigen 'nivo' wordt tegengesproken).
Dus: ga iets positiefs doen en gebruik je kennis om EFF ervan te overtuigen dat ze enorme kansen laten liggen bij een imago dat kans loopt op beschadiging, kansen laten liggen bij een product dat nog niet goed genoeg is, kansen laten liggen om werkelijk goede en betaalbare security laten liggen voor de massa.
Laat daarbij je oordeel over de inhoud van de portemonnee van anderen weg, geloof me, er zijn heel veel mensen en organisaties met een relatief lege portemonnee.
Verwijt 'de armen' niet dat ze kiezen voor budget oplossingen, dat is idioot omdat ze nou eenmaal niet de elite prijzen (zie e.v. certificaten) kunnen ophoesten om de overvolle kassen van een obsceen commerciële securityindustrie kunnen en willen spekken.
Succes met je constructieve schrijven aan EFF.
(ja, ik weet dat ik de prijzen van dv en e.v. certificaten wat gechargeerd en scheef met elkaar heb vergeleken maar dan nog mag duidelijk zijn dat in veel gevallen de relatie tussen redelijke kostprijs en vraagprijs volstrekt zoek lijkt. Dat mag, dat is de vrijheid van de vrije markt, maar mag ook in alle vrijheid ter discussie gesteld worden, en dat laatste gebeurt veel te weinig.
Degenen die rattencommercie wel ter discussie stellen affakkelen is begrijpelijk vanuit commercieel eigenbelang maar allerminst redelijk, en daar ging het nou juist om: security voor iedereen en niet alleen voor de elite.
Kennelijk moet daar nog een corrigerende verbeterende kwaliteit verhogende balans in komen, werk daaraan in plaats van eenzijdig partijen af te schieten: dat is nihilisme en of commerciële hypocrisie ten top!)