Waarom bestaan deze gasten nog wel? Hebben ze hooggeplaatste vrindjes zodat ze niet diginotar achterna hoeven?

Omdat het Amerikaans is en ze vriendjes zijn met de inlichtingen diensten?

Nee.
Het zijn mensen die ook fouten maken. Mensen die fouten maken mogen zich verbeteren.

De fundamentalist wil dat iedereen onmiddellijk tot in (subjectieve) perfectie werkt.
De realist ziet dat er continue verbetering nodig is en dat in dat proces fouten worden gemaakt waarvan wordt geleerd.
De egoïst wil graag zijn doelen halen (rijk worden?) zonder rekening te houden met anderen.

Als je naar de eerste verdieping wil, dan kan dat niet met 1 sprong. Dan heb je een trap nodig.

Symantec, Comodo. Zolang ze maar genoeg geld hebben voor juridische stappen tegen browsers kunnen ze doen wat ze willen.

Het gaat hier om iets wat nog maar een paar jaar geleden ingevoerd is. Bij mijn hosting provider (Hostnet) kan ik b.v. nog geen CAA record aanmaken.

Ook de DNS tools zoals 'dig' en 'host' die standaard op een Mac staan, kennen het CAA record nog niet en komen terug met een foutmelding.

Bij zo iets nieuws kun je configuratie-fouten verwachten. Ik denk ook niet dat veel bedrijven dit al gebruiken. Google wel, maar een abnamro b.v. nog niet.

Webbrowsers zouden hier natuurlijk ook op kunnen checken.

Je bent een fundamentalist indien je wilt dat Certificate Authorities zich houden aan standaarden, voor Certificate Authorities ? De verwachting dat ze compliant zijn aan de CAA-standaard lijkt mij niet meer dan redelijk.


Comodo is een Engels bedrijf, gesticht in 1998 door Melih Abdulhayo?lu.

Zo kan ik ook de allergrootste certificaatverstrekker van de wereld worden...

Dus de beveiliging van websites met een ander certificaat dan Comodo is in gevaar, omdat Comodo ook certificaten kon leveren voor die domeinen? Bijv. een certificaat voor een toegevoegd subdomein als "fishing.domeinnaam.xx"? (of iets wat aantrekkelijker klinkt zoals "doneren.domeinnaam.xx" maar waar gegevens en donatie in handen komt van een nepperd)

Begrijp ik dat goed?

Google heeft als eerste de kat de bel aangebonden wat betreft "onveilige" Symantec certificaten.
Hele discussies zijn hierover al hier op het forum gevoerd, o.a. door Bitwiper, die deze zaken aan de orde stelde.

Men kan de laatste technologische stand van website beveiligingsmaatregelen als volgt even nalopen, via

cryptoreport.websecurity.symantec.com/checker/
https://sritest.io/ en https://sritest.io/

Re: https://www.sslshopper.com/ssl-checker.html
meer extensief hier: https://www.ssllabs.com/ssltest/
op de site bij voorbeeld : https://en.internet.nl/site/cns1.secureserver.net/#

Daarnaast dient men te kijken in hoeverre zich alles afspeelt op het non-public internet en hoe verdere CDNs beveiligd worden (zit men niet voor een dubbeltje op de eerste rang) welke onderhuidse tracking, profilering en data uitwisselingen vinden er plaats.

Veel certificaten zijn nog als root op de server geïnstalleerd. Naamserver narigheid enz. enz.

Zij, die er toe doen weten er niets van en die er relevante kennis van hebben, doen er volgens de eersten niet toe.
En daarom wordt er naar deskundigen of ingewijden niet geluisterd, omdat er andere zwaarwegender belangen dan veiligheid te waarborgen zijn (commercie, macht, censuur).

Dan is er altijd nog onveiligheid die t.b.v. van staatselementen in stand gehouden moet worden,
denk aan bijvoorbeeld de audio afluistermogelijkheden bij het Microsoft platform, waar Kasperky's Lab via een patent tegen beveiligde en waarmee de Amerikaanse veiligheidsdiensten helemaal niet zo blij waren en Kaspersky dus gingen verketteren en uit de Amerikaanse overheidsmarkt drukten via een ban voor overheidsgebruik van de Kaspersky software. Microsoft wil dit als feature beschouwd iets (zelfs met afgeplakte microfoon bent u af te luisteren) niet van de nodige pleisters voorzien.

In deze materie zich fundamentalistisch opstellen valt dus om de duvel niet mee vanwege de gaande belangen (surveillance staat versus burgers, commercie versus eindgebruiker). Het onderwerp wordt zelfs grotendeels gemeden...of botweg ontkend of geridiculiseerd of tot grof nep nieuws gebombardeerd.

SSL onvolledigheden zijn ook prachtige alerts ter bevordering van censuur/versluieren van bepaalde info op websites, Via zo'n alert blijft de lezer, die geen inzicht heeft in de werkelijke bedreiging, vaak eenvoudig 'snel weg daar weg, zonder dat men een andere "rode haring" nodig heeft en zich nader dient te verklaren, dat men dit liever deze info niet onder de aandacht gebracht ziet. "Wij houden u dus liever onwetend dan veilig!".

Met headquarters in de VS