Je geeft geen enkele foutmelding of wat dan ook. Dus...
Wat verwacht je precies met je topic?
Even je gal spuwen?


De certificaten worden standaard 30 voordat ze verlopen vervangen, dus de hele wereld heeft nu 30 dagen de tijd, toch?
Menige commercieel CA bedrijf heeft trouwens ook wel eens ene storing. Maar als je echt ophanden zit, er zijn genoeg commercieel CA leveranciers je dus verder kunnen helpen.

Ook trouwens net gewoon een new certificaat bij letsencrypt aangevraagd zonder enige problemen.

Wat loop je te janken over Let's Encrypt? Zelfs de grootste phishers krijgen probleemloos certificaten van hen.

Toelichting: omdat domeinnamen van nepsites al snel op gangbare blocklists belanden, registreren cybercriminelen (ongehinderd) voortdurend nieuwe domeinnamen, waar zij in de meeste gevallen ook een https servercertificaat voor willen hebben. Sommige van die phishers (o.a. "Chenlun"?) zijn daarbij zó brutaal dat ze certs aanvragen (en krijgen) voor hele reeksen met SAN's (Subject Alternate Names, alternatieve domeinnamen) waarvan een deel al op blocklists staat. Ik heb een patroon gezien waarbij cybercriminelen om de paar dagen enkele (vaak 5?) nieuwe, deels willekeurige, domeinnamen registreren en toevoegen aan hun SAN-lijst voor in het certificaat. Pas als die lijst wel héél lang wordt, beginnen ze opnieuw.

Zélfs dat een deel van de SAN's in een certificaataanvraag op blocklists staat, interesseert LE duidelijk nul-komma-niets. Kun je ons vertellen wat je hebt gedaan (of misdaan) dat je geen LE-cert(s) krijgt? Ik ben benieuwd!

Ter illustratie geef ik 5 voorbeelden van momenteel geldige certificaten voor nepsites (vaak USPS imiterend) waarmee met name inwoners van de USA (en Canada) worden gephished (ook via SMS). Er zou een pakketje niet kunnen worden afgeleverd; na een "kleine" creditcardbetaling en het opgeven van het "juiste adres" zou het pakketje alsnog worden bezorgd. Uit die certs noem ik de SAN's, de domeinnamen waarvoor dat certificaat geldig is:

1) https://crt.sh/?id=11393283996:

2) https://crt.sh/?id=11398207376:

3) https://crt.sh/?id=11226696870:

4) https://crt.sh/?id=10892679117:

5) https://crt.sh/?id=11117277450:

P.S. Mocht je hierop willen reageren, quote dan niet deze hele posting!

Niet zo janken Erik. ;)

Je zult zien dat een groot deel van deze domeinen het niet ver brengen en niet daadwerkelijk zijn gebruikt. De domeinen worden geregistreerd op zicht of met gestolen credit cards of katvangers. Kijk maar eens hoeveel daarvan op een DNS blacklist staan.

Sorry Erik, met alle respect, normaal lees ik graag je bijdragen, maar v.w.b. LE begin je een beetje te lijken op die lui die hier zo nodig op elk bericht met het woord Windows menen te moeten reageren met geklaag over MS (al dan niet met een dollarteken).
Dat is sowieso altijd een goed idee en wordt veel te weinig gedaan.

Jij blokkeert dus duidelijk niet ip ranges die scannen en bijvoorbeeld de robots.txt standaard niet hanteren.

Ik denk dat je probleem ergens anders ligt, bijvoorbeeld dat al je websites gescanned worden op kwetsbaarheden.

Je weet er niets van (of je bent een criminele troll).

Een deel van de sites met genoemde domeinnamen is gewoon live. Een browser met Google Safe Browsing toont in een deel van de gevallen een rood scherm ("deceptive site"), zoals in het geval van nlpackage[.]com (die gewoon live is, te zien in een browser zonder Google Safe Browsing). Bijvoorbeeld bij https://usps.post-helpen[.]com/ slaat Google Safe Browsing bij mij niet aan en krijg ik gewoon de phishingsite te zien (een site die spontaan het nummer van mijn zoekgeraakte pakketje kent).

Nb. om mij onbekende redenen loopt crt.sh achter met recentelijk (sinds de kerst?) geregistreerde certs, laatsgenoemde domeinnaam kom je in mijn vorige post nog niet tegen. Deze zit in een cert geregistreerd op 4 januari, zie https://www.virustotal.com/gui/domain/usps.post-helpen.com/details.

Merk op dat die laatste VT URL het antwoord is op een SEARCH in de main page en invoeren van usps.post-helpen[.]com (d.w.z. zonder die [ ] ); als je voor URL kiest en https://usps.post-helpen[.]com/ invoert, zie je in https://www.virustotal.com/gui/url/58e42f2a48d9acaedc80ae40ac6e2f2b0215fc8d12b55144834c720c7c24444e/details dat, als niet ik maar virustotal die site bezoekt, deze door de scammers wordt doorgestuurd naar de echte https://www.usps.com/.

Geen idee. Er zijn registrars die het niets interesseert, als er maar betaald wordt.

Bovendien zijn er zat hosters die gewoon serieus geld willen verdienen, zonder zich te interesseren waar hun huurders zich mee bezig houden. De laatste 102 domeinnamen werden door Alibaba Cloud gehost op IP-adres 43.135.129.20 (zie https://www.virustotal.com/gui/ip-address/43.135.129.20/relations).

Het top TLD is niet van Google, maar zij heeft zat andere TLD's gekocht en verdient gewoon geld met domeinnamen die criminelen gebruiken om phishingsites op te zetten. Voor "extra veiligheid" kun je Google Enhanced Safe Browsing aanzetten - zodat Google, mochten ze dit niet op andere wijze registreren, weet wanneer je welke website bezoekt.

Er wordt door veel "nette" partijen bakken geld verdiend aan cybercrime. Let's Encrypt en andere DV-cert verstrekkers faciliteren dit, willens en wetens. En zij worden weer gesponsord door de hosters en DNS registrars die verdienen aan cybercrime.

Dat schreef ik. Het is een bezopen kat-en-muis spel.

Dit geldt ook voor virusscanners. Volgens Virustotal slaat geen enkele scanner aan op 43.135.129.20. Nadat er al een heleboel slachtoffers zijn gevallen, voegt de ene na de andere virusscanner (met tussenpozen van soms dagen) de zoveelste foute domeinnaam toe aan hun database. Veel scanners doen dat nooit.

Zoals ik al schreef, er wordt goud geld verdiend met cybercrime, en niemand die er serieus iets tegen doet - gesteund door trollen (zoals https://security.nl/posting/816674, maar ook hierboven van 18:29, allemaal anoniem natuurlijk) die de problemen bagatelliseren omdat ook zij niet willen dat er verbeteringen worden doorgevoerd. En in deze wereld draven we maar door met digitalisering, zoals de EDIW.

@Erik van Straten

Wat zei Let's Encrypt toen je ze van de phishing certificaten op de hoogte stelde?

Typisch, iedereen die het niet voor 100% met je eens is, of ook maar enig commentaar heeft, is een troll.
Ach, ik was al een woke schaap, dus dat kan er ook nog wel bij.
Met vriendelijke groet,
Anoniem van 18:29

Trollen die niet willen dat het verbetert? Erik, je zit voor anderen in te vullen wat voor kwaadaardige motieven ze wel zullen hebben. Word geen complotdenker. Er zijn ook zat mensen die zonder kwaadaardige motieven niet overal hetzelfde over denken als jij.

Laat ik een keer minder bot reageren op deze naar-de-bekende-weg-vrager.

LE heeft mogelijk miljoenen certificaten voor phishingsites uitgegeven; 5 is dan een druppel op een gloeiende plaat.

Bovendien is rapporteren zinloos, zie bijv. deze draad van gisteren: https://community.letsencrypt.org/t/why-does-lets-encrypt-issue-ssl-certificates-to-fraudulent-sites/211322.

Daarin verwijst MikeMcQ naar https://letsencrypt.org/2015/10/29/phishing-and-malware. Daarin schreef Josh Aas onder meer:
Niet altijd. Ik ken ondertussen 2 BGP-hijacks en 1 AitM aanval waarbij resp. criminelen en vermoedelijk de Duitse overheid DV certs verkregen voor een andere server dan geïdentificeerd met diens domeinnaam.

Ook kun je tegenwoordig DV-certs verkrijgen voor IP-adressen.

Last but not least heb je bij veel sites met DV-certs een versleutelde verbinding met een "legitieme" AitM (zoals Cloudflare, Fastly, beide sponsors van Let's Encrypt), waarbij je geen idee hebt wie (o.a. welke overheden) daarop meekijken, noch of en hoe de verbinding tussen die AitM en de "echte" server geauthenticeerd en versleuteld is. Daarbij neemt Fastly 100 totaal ongerelateerde domeinnamen op per certificaat en hergebruikt sleutelparen gedurende meerdere jaren. Zo'n certificaat zegt dan nog maar bar weinig: alleen dat jouw browser verbinding heeft met een dikke server van bijv. Fastly die overal ter wereld kan staan en dat die verbinding versleuteld is.

Josh Aas gaat verder met:
Geen enkele technische voorziening zegt iets over de "safety" of betrouwbaarheid van een website op het moment dat je deze bezoekt, en ook reputatie kan lastig zijn, maar kan pas als je weet van wie een website is.

Phishing is echter supereenvoudig als cybercriminelen met minimale kosten en een zeer lage pakkans nepwebsites online kunnen brengen die als twee druppels water op de echte website lijken, met als énige inzichtelijk te maken verschil een afwijkende domeinnaam.

Vooral als bijna niemand weet dat je de domeinnaam in de adresbalk van jouw brouwser moet checken, hoe je die moet interpreteren [1] en hoe je kunt weten dát een gegeven domeinnaam niet van de kennelijke organisatie is [2], [3]. Daarom zijn domeinnamen die bijv. met usps. beginnen zeer effectief; hoe moeten mensen weten dat deze niet van de echte usps.com is?

Waar nog bij komt dat een meerderheid ondertussen op smartphones met kleine schermen surft, waardoor lange domeinnamen deels onzichtbaar zijn [4] en veel browsers binnen de kortste keren de adresbalk helemaal verstoppen (in Firefox onder Android kan ik bijvoorbeeld van de échte
https://www.canadapost-postescanada.ca niet in één oogopslag zien dat deze op .ca eindigt).

[1] https://tweakers.net/nieuws/216878/ministerraad-stemt-in-met-gebruik-gov-punt-nl-als-domein-voor-overheidswebsites.html?showReaction=19450852#r_19450852

[2] https://www.security.nl/posting/822552/Onderzoek%3A+veertig+procent+Nederlanders+verwacht+niet+in+phishing+te+trappen#posting822675

[3] https://www.security.nl/posting/824620/Van+Huffelen%3A+overheid+haalt+persoonsdata+vaker+bij+de+bron%2C+minder+kopie%C3%ABn#posting824681

[4] https://tweakers.net/nieuws/216878/ministerraad-stemt-in-met-gebruik-gov-punt-nl-als-domein-voor-overheidswebsites.html?showReaction=19465382#r_19465382

Tot overmaat van ramp geven veel te veel organisaties het totaal verkeerde voorbeeld (zie ook [1]) met niet-hiërarchische domeinnamen zoals
werkenbijbedrijfsnaam.nl i.p.v.
werkenbij.bedrijfsnaam.nl en
login.microsoftonline.com i.p.v.
login.microsoft.com (dit is één van de weinige dingen die Google beter doet).

Browsermakers hebben dit probleem enorm vergroot doordat je in de meeste mobiele browsers geen certificaat meer kunt bekijken (wat sowieso zinloos is bij een DV-cert), en met name dat je niet meer in één oogopslag kunt zien om wat voor soort certificaat het gaat (gebruikelijk bij authenticatie, zoals ook bij DigiD, is dat er verschillende betrouwbaarheidsniveaus worden gehanteerd).

Verderop schreef Josh Aas (in 2015):
Dat doen ze, zoals ik heb aangetoond, niet of niet meer. Veel zin zou dat overigens niet hebben, want dan vragen voortaan alle phishers een nieuw certificaat aan voor elke nieuwe domeinnaam die zij geregistreerd hebben (verreweg de meesten doen dat nu al).

Ja ik weet het, EV- en vooral OV-certs waren ook niet zaligmakend. Het is echter in het economische belang van cloud-hosting partijen om hun klanten zo goedkoop mogelijke hosting -inclusief nietszeggend certificaat- aan te kunnen bieden. Dát is de drive van Big Tech om DV te promoten (en niet als minder betrouwbaar dan andere certs in browsers laten zien): zij ontzorgen hun klanten door voor hen certificaten te installeren en te vernieuwen (iets wat niet zou kunnen als elke organisatie zelf hun certificaat zou moeten aanvragen omdat zij zich daarbij betrouwbaar moeten authenticeren). Het is gewoon big business.

Daarbij wordt Big Tech ook nog eens geholpen door sukkels die niet verder denken dan hoe handig automatisch vernieuwen is en dat de certificaten nog "gratis" zijn ook. Met genoegen proberen zij doordenkers zand in de ogen te strooien. Verrassing: certificaten zijn niet "gratis", alleen betalen niet de servereigenaren maar de bezoekers de prijs. Denk eens vanuit het perspectief van internetters die géén ervaren ICT beheerder en géén forensisch ICT expert zijn! Is het fatsoenlijk om het vraagstuk, of een gegeven website echt is of nep, door elk van hen individueel te laten beantwoorden?

Als "we" met z'n allen een simpel en onbetrouwbaar internet (inclusief browsers etc.) willen waarbij de meeste internetters nep niet van echt kunnen onderscheiden: so be it. Maar ga dan geen hoogvertrouwelijke diensten bouwen op dit omgekeerde kaartenhuis.

@Erik van Straten
CA's moeten gewoon net als andere entiteiten op internet verantwoordelijkheid nemen voor de bescherming van internet tegen duidelijk crimineel gebruik. De high horse/anarchistische attitude is niet alleen een slechte cultuur, maar ook fundamenteel fout, want ook een CA dient zich aan de heersende voorschriften te vormen.

Phishing kan op een aantal manieren worden aangepakt:
* domein laten blokkeren door registrar
* domein laten blokkeren door registry
* domein laten blokkeren op name server
* domein/NS laten blokkeren via law enforcement
* NS domein laten blokkeren door registrar
* NS domein laten blokkeren door registry
* hosting laten blokkeren door hoster
* hosting laten blokkeren door redirector
* hosting laten blokkeren door upstream (in geval van bulletproof hosting)
* follow the money
etc.

Blokkeren van een certificaat lost niet het phishing probleem op omdat de phisher gewoon doorgaat zonder domein, of gewoon met een ander certificaat. Van een CA kan niet worden verwacht dat ze op basis van een domein ad infinitum certificaten blijven weigeren. Daar ontstaan problemen met de beheer(s)baarheid. Registrars bijvoorbeeld hebben wel gereedschapkistje dat e.e.a. beheersbaar en eindig maakt, bijvoorbeeld het overnemen van het domein en laten aflopen.

Ik quote wat Anoniem @18:29 onder meer schreef:
Na uitgebreid eigen onderzoek kom ik met actuele bewijzen (van een type dat ik nergens eerder heb gezien) dat Let's Encrypt cybercriminaliteit faciliteert.

In reactie daarop vergelijkt Anoniem @18:29 mij met de malloten die hun OS veel beter vinden, want: omdat zij zeggen dat het zo is.

De wereld is wijsgemaakt dat "Encrypt the web" een doel is. M.i. had het een middel moeten zijn om een betrouwbaarder en veiliger internet te realiseren.

Als ik, op een security site, schrijf dat dit alleen maar de verkeerde kant is opgegaan en dat onderbouw met controleerbare feiten, wordt dat niet met fatsoenlijke argumenten betwist maar willen anoniemen dat ik stop met het schrijven van hen onwelgevallige teksten. Dat noem ik trollen.

Klaag bij de DNS provider. Niet bij de certificaten provider. Of beter nog, klaag bij de enige organisatie die iets bewijisbaar fout doet: de phishers. Het is echt niet de taak van een certificaten provider om te controleren of het shady business is of niet.

Dat was in het beginsel wel de bedoeling, anders heb je niets aan het "Web of Trust".

PGP is web of trust. SSL heeft nooit die intentie gehad.

Waarom moet een certificaat provider als politieagent op gaan treden? Nota bene een private organisatie.Erik, Erik toch…

Dat cybercriminelen Let's Encrypt gebruiken daar twijfel ik niet aan. Maar zeggen dat Let's Encrypt dat faciliteert is zoiets als zeggen dat Rijkswaterstaat drugstransporten over snel- en waterwegen faciliteert. Dat doen ze inderdaad door die infrastructuur aan iedereen aan te bieden, maar op de een of andere manier neemt niemand ze dat kwalijk en wordt crimineel gebruik van die infrastructuur niet als verantwoordelijkheid van Rijkswaterstaat gezien.

De rol van CA's is veranderd, van ooit een waakhond die certificeert dat je werkelijk te maken hebt met de organisatie waarmee je te maken lijkt te hebben (wat nooit zo betrouwbaar is geweest als wel is voorgesteld) tot infrastructuur die alleen de verbinding met een server helpt versleutelen zonder wat dan ook te zeggen over de eigenaar van die server. Let's Encrypt is zeker een grote stap in die verandering geweest. Jij wekt de indruk dat je het hartsgrondig oneens bent met die verandering, en dat is je goed recht, maar dat betekent niet dat mensen die accepteren dat dat nu is hoe de zaken liggen en die van daaruit redeneren een ongeldig perspectief hebben. Die als trollen wegzetten en insinueren dat ze geen verbeteringen willen doorvoeren is waar ik je op aansprak. Het is heel goed mogelijk dat die mensen wel degelijk vinden dat het beter moet dan het nu gaat, maar niet denken dat dat gaat lukken door de ontwikkeling van de rol van CA's terug te draaien.

Ja, die indruk wek je op mij ook zo langzamerhand. In plaats van alleen maar te roepen dat de rest ongelijk heeft zou je je af kunnen vragen hoe het komt dat je die indruk wekt. Ik kom erop terug.

Een middel om een doel te bereiken is voor degene die wordt aangesteld om dat middel te implementeren en te beheren het doel. Die heeft voor dat doel weer middelen en er zijn weer medewerkers of hele organisaties die die middelen als doel hebben.

Dat is een belangrijk element in hoe de mensheid bezigheden weet te organiseren en dingen voor elkaar weet te krijgen die anders niet haalbaar zouden zijn. Dat middelen doelen op zich worden voor de uitvoerders draagt het gevaar in zich dat ze losraken van de bovenliggende doelen, maar tegelijk hadden we dingen als IT, internet, CA's en Let's Encrypt om te beginnen al niet voor elkaar gekregen als we dit vermogen tot specialiseren niet hadden gehad.

Vanuit een heel stevige en specifieke duiding van die feiten waar niet iedereen het mee eens is. Zie mijn vergelijking met Rijkswaterstaat.
Je werd niet op je argumenten aangesproken maar op de manier waarop je meteen losgaat als je trigger-term maar door iemand wordt gebezigd. Wat dat betreft doe je inderdaad denken aan mensen die losgaan zodra ze "Windows" of "Linux" of "overheid" of zo tegenkomen — waarmee ik uitdrukkelijk niet impliceer dat ik jou als een soortgelijke malloot zie.

Ik vind zoals je reageert best overspannen overkomen. Dat bedoel ik niet als aanval, maar als die indruk klopt kan het zinvol zijn om een signaal te krijgen dat je niet meer helemaal lekker reageert, en zo bedoel ik het. Dat schrijf ik als iemand die zelf meerdere malen zwaar overspannen is geweest en dat ook bij anderen heb meegemaakt. Als ik daar een ding van geleerd heb is het dat anderen typisch veel eerder dan de persoon zelf opmerken dat die niet meer lekker reageert. Als rek eruit is krijg je dingen als korte lontjes, overreacties en rechtlijnigheid. De manier van reageren die ik bij jou zie lijkt in dat beeld te kunnen passen, en als dat klopt dan hoop ik dat je er wat aan hebt om erop gewezen te worden.

Hoe verwacht je dat het enorme aantal DNS providers (die, in tegenstelling tot het kleinere aantal CA's, niet gesanctioneerd kunnen worden door browsermakers) daarop zullen reageren? Zelfs in whois staat alleen nog maar "hidden for privacy reasons".

Klopt, vaak kan dat niet bij voorbaat uitsluitend op basis van een domeinnaam (zoals usaseh.top). Daarom is het ook grotendeels zinloos om DNS providers hiervoor aansprakelijk te maken.

Wat wel kon, en weer zou moeten kunnen als we een veiliger en betrouwbaarder internet willen, is dat niet élke individuele bezoeker van een website, uitsluitend op basis van een "zou kunnen zijn van" domeinnaam, zélf moet zien vast te stellen wie verantwoordelijk is voor die website (of andere TLS server). Want alleen dan kan er sprake zijn van een opgebouwde reputatie.

X.509 certificaten zijn, net als paspoorten, ontworpen om, naast unieke- (BSN, domeinnaam), tevens voor mensen begrijpelijke identificerende gegevens van server-verantwoordelijken op te nemen. Een DV-cert is als een paspoort met daarop uitsluitend een BSN en een paspoortnummer: dat zegt de meeste mensen helemaal niets.

Big Tech vond het lucratief om die aanvullende, voor mensen begrijpelijke, gegevens te schrappen, met DV-certificaten als gevolg die niet of nauwelijks veiliger zijn dan de (meestal onveilige) DNS en BGP protocollen.

Fix
Indien, en/en:

1) Certificaatverstrekkers zorgvuldig de identiteit van de server-verantwoordelijke vaststellen en diens gegevens in de door hen digitaal ondertekende certificaten opnemen, is er sprake van een voor internetters zinvolle Trusted Third Party;

2) Browsers (ook op mobiele apparaten) die identificerende gegevens eenvoudig inzichtelijk maken;

3) Internetters leren hoe zij kunnen vaststellen van wie een website is, en als dat niet kan (omdat de server-verantwoordelijke anoniem wenst te blijven en een DV-cert gebruikt), kunnen concluderen dat de kans dan groter is dat het om een oplichter gaat dan bij een sterker authenticerend certificaat;

kunnen we internet betrouwbaarder en veiliger maken. Ik ken geen betere (of, zo je wilt, minder slechte) oplossing.

Erkende problemen: ja, er bestaan er criminele certificaatverstrekkers, en ja, niet iedereen zal punt 3 snappen, en ja, punt 2 is "gedoe" voor browsermakers.

Echter, sinds de massale overgang naar DV is het voor helemaal niemand nog mogelijk om vast te stellen of een website met een voor die persoon onbekende doneinnaam, zoals https://herprogrammeerdeoverheid.nl, https://postnl.post of https://circle-ci.com met enige zekerheid van de in de pagina's genoemde eigenaar is, of dat het om een phishingsite gaat.

We zijn gewend dat als we in een winkelstraat een pand zien waar HEMA of ING op staat, dat dit echt een filiaal van de HEMA of ING is. Het is voor criminelen enorm lastig, met grote pakkans, om dat te faken. Op internet is dit heel anders. Zoals ik al vaker schreef: je hebt niets aan authenticatie als impersonatie eenvoudig is.

Bovendien: organisatie- of persoon-identificerende certificaten zijn niet alleen in het belang van internetters die geleerd hebben waar zij op moeten letten. Zo'n aanpak heeft tévens een afschrikkende werking op cybercriminelen: hun pakkans neemt toe, vooral als foute certificaatuitgevers worden buitengesloten. Ook kost het tijd om zo'n certificaat te verkrijgen, iets dat BGP-hijackers en DNS-attackers zelden hebben.

Daar komt bij: certificaatverstrekkers kunnen veel strenger, eenvoudiger en massaler gecontroleerd worden dan DNS-boeren. Het is simpelweg identiteitsfraude als een certificaat onterecht op naam van andere een persoon of organisatie wordt uitgegeven, en iedereen die een site met vervalst certificaat bezoekt en snapt wat er aan de hand is, wéét dat de CA de boel belazert. Net zoals jij niet wilt dat de overheid een paspoort afgeeft met daarop jouw persoonsgegevens maar de foto van een ander (ook dit gaat wel eens fout), gelden er strenge regels voor certificaatverstrekkers - vooral van uitgevers van uitgebreidere certificaten.

Daarentegen: het registreren van een "lijkt op" domeinnaam kun je onmogelijk strafbaar stellen of op andere wijze sanctioneren. Uitsluitend indien alle DNS-boeren voor elke domeinregistratie strenge authenticatie zouden vereisen, zou je de pakkans van cybercriminelen kunnen vergroten. Dit lijkt mij echter kansloos zolang er geen wereldwijde organisatie is die dit handhaaft - en die zie ik ook niet ontstaan (het CAB-forum bestaat al wel).

Kortom: m.i. genoeg redenen om niet DNS-registrars verantwoordelijk te maken voor betrouwbare authenticatie van website-verantwoordelijken die dat willen, maar dat terug te brengen naar waar het zat: bij certificaatverstrekkers.

Conclusie
Dat niemand nog onderscheid kan maken tussen DV- en uitgebreidere certificaten, is vooral in het belang van Big Tech. Maar ook van server-eigenaren die geen geld en tijd aan certificaten willen besteden, én het is een cadeautje voor cybercriminelen: gratis, in no time en anoniem (pakkans nul) een hangslotje op jouw nepsite.

Je snapt er echt niets van Erik. Ook phishers kunnen gewoon een bedrijf nadoen. Het is en blijft niet de taak van een CA om politie agent te spelen. Dat moet je niet willen.

SIDN heeft trouwens als .nl TLD provider prima middelen om dns namen van het net te verwijderen, dus waarom de bal bij CA leggen? De domain alerting service werkt bij look-a-like domeinen, zelfs buiten .nl domeinen. Je richt je pijlen volstrekt onterecht op CA’s.

Wat een idiote vergelijking. De wegen van Rijkwaterstaat hangen vol met (ANPR-) camera's waarmee zij die wegen bewaken. Zo worden rijstroken afgezet bij o.a. ongelukken of afgevallen lading, en ook ik ontving deze brief: https://security.nl/posting/392751. Dankzij die camera's konden de moordenaars van Peter R. de Vries op de afslag Leidschendam van de A4 worden aangehouden.

Daarentegen doet Let's Encrypt nul-komma-niets aan het veiliger maken van internet, ze komen er zelfs glashard voor uit dat een ander moet dat maar oplossen. Bijvoorbeeld uit https://letsencrypt.org/documents/isrg-cp-cps-v5.1/:

Hetgeen totaal zinloos is als die server van een cybercrimineel is. En schijnveiligheid biedt v.w.b. het post-Snowden argument dat een E2E versleutelde verbinding tussen browser en de bedoelde server, voorkómt dat andere partijen (waaronder overheden) mee kunnen kijken - of desgewenst zelfs data kunnen wijzigen/injecteren. Zie https://tweakers.net/plan/4086/#r_19435098.

M.b.t. mensen met een andere mening:
Wijs eens aan waar ik mensen uitsluitend met een andere mening wegzet als trollen; ik doe dat alleen bij reageerders die mij de mond proberen te snoeren, schrijven dat ik van een mug een olifant maak, of schrijven dat ik er niks van zou snappen - zonder fatsoenlijke onderbouwing waarom zij gelijk hebben en ik mijn bek zou moet houden (vaak lezen ze mijn bijdragen niet of niet helemaal; prima, maar reageer dan niet).

Alsof we geen gigantische security-problemen hebben, waaronder ransomware plus ongekende hoeveelheden gelekte persoons- of andere vertrouwelijke gegevens, en de vele mensen wiens bankrekening of cryptobeurs geplunderd wordt, waarbij phishing in de meeste gevallen een rol speelt.

Je beschrijft geen enkele oplossing voor hoe internetters nepsites van echte zouden kunnen onderscheiden. Aangezien je, in plaats daarvan, voor psycholoog gaat spelen, ben ik ook uitgepraat met jou (wie weet ben je dezelfde anonieme lafbek als 18:29).

Lucht het op om dat te schrijven?

Je hebt mijn vorige bijdrage niet eens gelezen.

Los van gehackte websites zijn er, vergeleken met andere TLD's, relatief weinig .nl phishingsites - maar ook hier komen ze voor. Dat leidt ertoe dat er eerst slachtoffers vallen voordat zo'n site ontoegankelijk wordt gemaakt. Kat-en-muisspel dus.

dhl-my-parcel[.]de heeft een vandaag uitgegeven LE cert. Wordt ondertussen al wel geblokt door Google Safe Browsing.

Een nog lopende actie waarmee beheerders van Wordpress sites worden gephished, uit https://wordpress.org/support/topic/wordpress-scam/:
Met andere woorden:
Beide https:// natuurlijk, zie https://crt.sh/?q=ca.en-wordpress.org voor het LE certificaat van de nepsite - die nog in de lucht is en (nog) niet door Google Safe Browsing wordt geblokkeerd.

LE is hartstikke populair bij cybercriminelen. Voor alle volgende sites, gebruikt als jump-start voor ransomware (genoemd onderin https://www.microsoft.com/en-us/security/blog/2023/12/28/financially-motivated-threat-actors-misusing-app-installer/), is het LE certificaat niet revoked (en nog niet verlopen):
https://crt.sh/?q=ithr.org
https://crt.sh/?q=scheta.site
https://crt.sh/?q=tnetworkslicense.ru
https://crt.sh/?q=1204knos.ru
https://crt.sh/?q=1204networks.ru
https://crt.sh/?q=info-zoomapp.com
https://crt.sh/?q=zoonn.meetlng.group
https://crt.sh/?q=storageplace.pro
https://crt.sh/?q=sun1.space
https://crt.sh/?q=tech-department.us
https://crt.sh/?q=kellyservices-hr.com
https://crt.sh/?q=webmicrosoftservicesystem.com

Als Microsoft een in 2022 door haar geïntroduceerde "desktop App Installer experience" maatregel weer intrekt, betekent dit dat zij door machtige klanten onder druk is gezet om dat te doen. Uit laatstgenoemde Microsoft webpagina:
Dergelijke aanvallen beginnen ermee dat gebruikers naar een nepsite gestuurd worden (het kan daarbij ook om een gehackte of criminele
<tenant>-my.sharepoint.com pagina gaan, waarvan het certificaat suggereert dat Microsoft verantwoordelijk is voor de inhoud daarvan - in plaats van tenant - iets dat DNS providers helemaal niet kunnen voorkómen).

Lees mijn eerdere bijdragen en beargumenteer waarom wat ik schrijf onjuist is en kom met realistische en werkende alternatieve oplossingen, in plaats van uit jouw perspectief jouw mening te dumpen en te schrijven dat ik er niks van snap.