Door Erik van Straten: @Anoniem 20:19: bedoel je dat een KVK-registratie (los van het KVK-nummer) uniek moet zijn?
Ik neem aan dat dit zo is, een bedrijf (of stichting etc.) met naam X en vestigingsadres Y moet "vindbaar" zijn lijkt mij. De rol van de KVK bij certificaten is echter lastig, want overheden (zoals de politie) en particulieren hebben geen KVK-inschrijving en buiten Nederland moet je helemaal afwachten hoe e.e.a. geregeld is.
Oh maar in die tijd kon je als particulier helemaal geen domeinnaam krijgen!
Later is daar wat op verzonnen waarbij je als particulier een subdomein zoals erikvanstraten.001.nl kon aanvragen waar
bij er dus altijd een 3-cijferig nummer in zat van 000-999 wat je dan kon kiezen voor zover beschikbaar. Men was
kennelijk beducht voor de situatie dat er meer dan 1 Erik van Straten zou kunnen zijn die dan zouden gaan procederen
om "hun eigen naam" te mogen gebruiken.
Echter toen dat ingevoerd was, was die "1 naam per bedrijf" regel al eerder gedropt volgens mij, of dat gebeurde op
datzelfde moment.
Ik kan me nog wel herrinneren dat ICT bij een bank de domeinnaam <banknaam>.nl had aangevraagd en gekregen
en dat toen later de directie kwaad was want het had <banknaam>bank.nl moeten zijn. Afijn toen dat extra aangevraagd
werd werd dat afgewezen, en was er een hoop gedoe of die oude naam nou moest worden opgeheven (wat gedoe was
ivm al bestaande mail adressen) of dat men toch die nieuwe naam niet zou krijgen. Uiteindelijk viel dus het besluit dat
die beperking er niet meer was en konden beide namen geregistreerd worden.
Dat was een voorbeeld van hoe dit een beetje extreeem kon gaan. Maar als dat (min of meer) gehandhaafd was dan
zaten we nu niet met werkenbij<bank>.nl en dat soort idiote domeinnamen, en met de problemen rond "is dit domein
nou van <bank> of van een oplichter?".
Nb. ik zal de laatste zijn om te stellen dat het eenvoudig is om (met name online, op afstand) te bewijzen dat iemand geautoriseerd is om namens een organisatie een https servercertificaat aan te vragen (een KVK-nummer kennen is hier natuurlijk geen bewijs voor).
LET OP: ik beweer helemaal nergens dat een KVK nummer een bewijs moet zijn ergens voor. Wat ik wil aangeven is
dat er per KVK registratie maar een domein zou moeten worden uitgegeven (en dit mogelijkerwijs ook bij KVK
geregistreerd zou moeten worden) zodat gebruikers weten "als het hema.nl is dan is het de Hema, en als het iets
anders is dan is het niet de Hema". DAT is het onderwerp waar je het over hebt als he allerlei phishing en scams
aan het bestrijden bent. Hardstikke leuk dat je kunt checken of een mail met "U heeft een prijs gewonnen bij de Hema"
echt wel afkomstig is van hema.nl, maar je hebt daar niets aan als men voor dit doel gewoon een extra domein
hema-prijzenfestival.nl kan registreren. Want dat kan een oplichter ook, en daar valide DMARC op zetten ook.
(idem voor het opzetten van allerlei portal sites en validatie servers zoals waar dit topic over gaat)
DV is makkelijk en goedkoop voor beheerders van websites; het uitzoekwerk van wie een website is en bijgaande risico's verplaatsen zij naar elke bezoeker van hun website (helaas pindakaas als zo'n bezoeker in een nepsite trapt).
Oorspronkelijk waren SSL certificaten bedoeld voor het zekerstellen dat de partij aan de andere kant degene was
waarvan je denkt dat die het is. Bijvoorbeeld de <bank>. In de begintijd moest je je best wel heftig authenticeren
bij het aanvragen van een certificaat, daar kwam minstens een fysiek door een tekenbevoegde ondertekend
formulier bij, aangevuld met een copie van de legitimatie van die tekenbevoegde. Om te weten wie dat dan was had
je dan weer de KVK registratie. Maar ik geloof dat er toen ook al uitgevers waren (of gevallen, bijv een bank) waarbij
je fysiek ergens heen moest, bijv een kantoor van die certificaat uitgever of een notaris, om het allemaal rond te
krijgen. In feite was toen elk certificaat EV.
Later is dat allemaal meer en meer verslapt en nu zitten we in de situatie dat certificaten totaal waardeloos zijn voor
dit doel, omdat men zich helemaal gericht heeft op "encrypten van de verbinding" en het aspect "identiteit van de
tegenpartij" helemaal heeft laten verwateren.
Nu was dat door het systeem van vele certificaat uitgevers eigenlijk toch al slecht, want men heeft er aan het begin
niet aan gedacht dat je per domein een valide certificaatuitgever zou moeten vastleggen. Daar is pas veel later wat
mee gedaan, en zoals altijd krijg je dan meerdere oplossingen die allemaal net wat anders werken en wordt er aan
de gebruikerskant niks mee gedaan tot de leverancierskant de zaakjes beter voor elkaar heeft. Patstelling.