Door Anoniem: Met deze set aan vertrouwde authorities kan jouw browser automatisch bepalen of een certificaat te vertrouwen is en hoef je dus niet zelfstandig de hash te checken.
Ik vermoed dat de TS de hash van het certificaat wil vergelijken met een
eerder gecheckte en onthouden waarde (of met een hash zoals te vinden op sites als cert.sh en virustotal.com). Daar is iets voor te zeggen, ware het niet dat je op smartphones zo'n hash zelden zichtbaar kunt maken en certificaten regelmatig vervangen moeten worden vanwege de steeds kortere geldigheidsduur.
Door Anoniem: Mogelijke aanval scenario's:
1) Malware voegt een eigen certificate authority toe aan je browser. Maar goed, als malware een cert-authority op je pc kan toevoegen ben je toch al het haasje.
2) Je voegt zelf per ongeluk een certificate authority toe die niet trusted is: Je moet wel heel vaak op "weet je het zeker" klikken, doe je niet zomaar
3) Een ander certificate authority geeft opnieuw een certificaat uit voor hetzelfde domein. Als bad-actor dit certificaat heeft en een MITM-positie heeft is het mogelijk om een neppe website te serveren en je credentials te jatten. Maar een MITM-positie en een geldig certificaat is een combo die je niet zomaar hebt. Bovendien verplichten de bigtechs dat elk certificaat dat een authority maakt in een CT-log (certificate transparency) log komt. Hiermee kan iedereen checken welke certificaten er worden uitgegeven door wie en voor welk domein. Dit mechanisme is een krachtige maatregel tegen deze aanval.
Er zijn er veel meer, en je vergeet de m.i. belangrijkste: je bent (bijvoorbeeld via een gehackte website van jouw gemeente) op een website terechtgekomen die als twee druppels water lijkt op de echte DigiD site, en die een geldig (meestal Let's Encrypt) certificaat heeft.
Mensen wordt geleerd om "het slotje te checken", maar een slotje (dat binnenkort niet meer getoond wordt in Chrome) zegt natuurlijk helemaal niets over naar
welke website je zit te kijken. Oftewel, gefeliciteerd met jouw veilige verbinding met een phishing website.