Tja, iedereen kan vrij domeinnamen registreren, en er is geen controle op bijna-dezelfde namen.
Dan is er logisch gevolg dat aanvallers vergelijkbare namen gaan registreren.

Iemand zou nieuwe domeinnamen kunnen controleren of ze veel lijken op bekende of populaire diensten, om vervolgens in geval van misbruik ze in een of andere blokkeer feed te gooien. Dan maak je het hackers al een heel stuk moeilijker.

Wat IP's betreft, dit is prima in mijn ogen. Deze laag van het internet is bedoeld voor open communicatie zonder restricties of discriminatie. Eventueel aanhoudend misbruik behoort wel door autoriteiten aangepakt te worden, maar Rusland heeft daar lak aan of geen tijd voor. Gelukkig zou iedere zelf-respectabele ISP standaard deze kwaadaardige IP's van Rusland kunnen blokkeren, om hun eindgebruikers te beschermen tegen deze gevaren. Trouwens, het terugtrekken van IP-ranges door ICANN/IANA vind ik een heel zwaar midden dat hooguit in de zwaarste gevallen gebruikt mag worden.

ISP's kunnen de meeste ongeing relatief makkelijk de grond in boren voor het ooit een klant bereikt ware het niet dat het geld kost. We zijn zelf een managed provider voor bedrijven waar we de volledige controle overnemen qua beveiliging inclusief het beoordelen van phising berichten ge-automatiseerd als handmatig.

Onze klanten krijgen een lijst per dag wat is tegengehouden en ze kunnen aan ons doorgeven wat ze denken wel erdoor te willen laten. Wij controleren vervolgens geautomatiseerd de headers reputatie en content type en bij twijfel krijgen we een alert voor handmatige check. Blijkt uit het onderzoek dat meestal maar minuut in beslag neemt dat het fake is dan sturen we een korte uitleg naar de klant waarom we het weigeren vrij te geven. Dus geen reliek als ham spam waarbij je de berichten al standaard naar een spam folder zet maar in een quarantaine plaatst met 0 mogelijkheid tot script uitvoerigen.

Het enige nadeel voor de klant is verminderde privacy vs veiligheid en mogelijk 1 dag vertraging met mails maar daar tekenen ze voor het moment dat ze vragen voor controle. En ze hebben de mogelijkheid het uit te schakelen maar dan is alle schade voor hun eigen rekening plus reparatie op uur tarief. We leven in een tijd dat het haast onmogelijk is voor klanten zelf om phising te herkennen. Je krijgt daarnaast een risico op controle fatique bij klanten waar ze laks worden met zelf beoordelen dus geef ze gewoon niet die verantwoordelijkheid.


Als bedrijf maar nog beter als ISP kun je verder de firewalls of login failure daemon koppelen aan reputatie check lijsten.
Bijvoorbeeld https://www.talosintelligence.com/reputation_center/lookup?search=193.143.1.14
Je ziet dan meteen dat deze range qua provider foute boel is en je kan dan ook CIDR block erop zetten van bijvoorbeeld /24 Met een beetje slimme software en betaalde lijst dienst is dit volledig geautomatiseerd te krijgen om om het uur of ag een lijst refresh te doen.


Of je kan mits je systemen het ondersteunen een ASN block doen Dat vergt meestal dan wel weer wat finetuning.
Domein blocks daarin tegen zijn niet effectief zoals je zelf al liet zien kunnen er duizenden sites draaien op 1 IP qua variant.
Plus dat een IP block vele male minder resources kost dan een domein block in de praktijk.


Verder moet je ook als bedrijf, ISP stevig in je schoenen staan en als klanten wel willen dat iets vrijgegeven wordt waarvan je weet dat het problemen geeft gewoon nee verkopen. We gooien zelf klanten van ons netwerk als we grijze, zwart handel herkennen bijvoorbeeld. Zo hebben we paar maanden geleden nog een computer shop als klant gedag gezegd omdat deze persé wou dat we mails vrijgaven met licentie codes aankopen voor windows machines uit rusland waarbij na kort onderzoek de verdenking al bevestigd werd dat het om illegale handel ging en het IP ook bekend stond voor phising. We willen geen deelname aan voortzetting van zulke praktijken dus heeft de klant maand gehad de boel op te pakken en andere provider te zoeken met lagere standaards.


Om zelf ongein als provider van je eigen netwerk te voorkomen kun je duurdere A.I oplossingen inzetten gebaseerd op Visual Regression Tests waarbij je dus klant sites monitored op de visuele weergave door screenshots te maken om het uur en als deze boven een bepaald procent afwijking komt na een uur is er een grote kans op ongein.

Uiteraard heb je dan ook false postives ertussen van klanten die hun hele site omgooien maar omdat we zelf managed provider zijn doen we ook het gros van alle aanpassingen sitematig dus daar heb je dan een lijst van webdesign voor om excludes tijdelijk erin te zetten. Kost ruimte en CPU, GPU maar veel betere detectie dan een reguliere bestands scanner omdat phising afhankelijk is van de site weergave en dat kun je als code niet verbergen.

Daarnaast ondersteund het ook je devops, webdesign team omdat als een aanpassing of een update iets toch verknalt wat over het hoofd is gezien het snel met een snapshot restore gefixed kan worden of ingeplande handmatige actie.


Er zijn dus genoeg middelen om risico's aanzienlijk te verlagen zonder de klant verantwoordelijk te stellen voor de controle of te eisen dat ze kennis hebben. Het kost enkel meer geld en van je klanten iets meer geduld en soms wat privacy. En dan komen we bij het probleem dat het niet rendabel is voor ISP's om dit te doen voor consumenten, kleinbedrijf. Want de diensten moeten dan vele malen duurder verkocht worden en dan gaan de consumenten, kleinbedrijf gewoon naar goedkopere alternatieven die er genoeg zijn.

Die route is al vaker voorgesteld, maar die is m.i. kansloos om meerdere redenen.

1) Een naam is een "alias" voor een entiteit - een potentieel nietszeggend identificerend gegeven. Als jouw achternaam "Hitler" is, kun je jouw zoon desgewenst "Adolf" noemen. Het gaat dan immers niet om dezelfde persoon (die alsnog om oorlogsmisdaden vervolgd zou moeten worden). Dit geldt ook voor domeinnamen die in andere handen vallen. Linksom of rechtsom wil je weten naar welke entiteit een alias verwijst, bij website-domeinnamen wie voor die website verantwoordelijk is. Dat blijkt te vaak niet uit de domeinnaam.

2) Je kunt aan een domeinnaam vaak niet zien wat de intenties van de huurder zijn. Een domeinnaam zoals "facebook-complaints·com" kan van iemand zijn die klachten over Facebook verzamelt, of (later) worden gebruik om te suggereren dat je daar kunt klagen over (bijv. pesten op) Facebook, waarbij de huurder je laat inloggen met jouw Facebook wachtwoord (en eventuele 2FA-code) en zo jouw account kaapt.

3) Als iemand nl-secure·com of misecure·com (*) registreert, zegt dat niets. De huurder van zo'n domeinnaam kan vervolgens naar believen subdomeinen creëren, zoals rabobank.nl-secure·com. "Stom" of niet, mensen trappen daar in.

4) Er bestaat een levendige handel in "geparkeerde" domeinnamen - die vaak worden "witgewassen". Dat doen half-criminele parkeerders door absurde en/of bewust misleidende subdomeinnamen te registreren (en daar "brave" websites achter te stoppen). Vaak worden daar ook duizenden certificaten voor uitgegeven. Twee voorbeelden van idiote domeinnamen: "sberbank.yandex.ozon.pay.notexistskwid9.amourethenwife·top" en "git.git.git.git.git.login.joomla-agentur-pforzheim·de. Die laatste is te vinden in https://crt.sh/?Identity=joomla-agentur-pforzheim.de&deduplicate=Y - met foutmelding omdat het er teveel zijn om weer te geven. Opmerkelijk is dat er op 2024-02-03 minstens 1515 domeinnamen eindigend op .joomla-agentur-pforzheim·de achter 104.21.6.105 van Cloudflare te vinden waren).

5) In browsers en/of besturingssystemen zijn "trusted root certificates" opgenomen. Er bestaat een toezichthouder die CSP's (Certificate Service Providers) en CA's (Certificate Authorities) erop aanspreekt als zij onterecht certificaten uitgeven of zich op andere wijze niet aan de overeengekomen regels houden. Helaas is die organisatie een slager die diens eigen vlees keurt (met Google die de meeste stemmen in dat CA/B forum heeft opgeëist). Wat, in elk geval in theorie, wél kan, is dat je zelf rootcertificaten blokkeert en/of toevoegt. Een vergelijkbaar systeem voor domeinnamen is niet standaard aanwezig in browsers en/of besturingssystemen (uitgezonderd firewalls maar daar schiet je te weinig mee op, zie de volgende twee punten).

6) Steeds vaker "zitten" websites, zowel authentieke als neppe, achter CDN's (zoals Cloudflare en Fastly). Bovendien kunnen er "achter" één IP-adres duizenden websites "zitten". Het blokkeren van IP-addressen of zelfs -reeksen ís mogelijk, maar lijdt tot zeer veel valspositieven: meestal worden dan ook legitieme websites geblokkeerd.

7) Cybercriminelen verzinnen voortdurend nieuwe domeinnamen en/of verhuizen hun websites naar andere IP-adressen (soms dagelijks). Dat maakt blokkeren met een firewall zinloos, omdat je voortdurend achter de feiten aanloopt.

(*) Een heel erg foute club die al heel lang actief is zonder dat die domeinnaam wordt afgenomen, met naast de "grappige" subdomeinnaam "evilginx.misecure·com", maar bijv. ook (bron: de sectie "Subdomains (6.5 K)" in het "RELATIONS" tabblad van https://www.virustotal.com/gui/domain/misecure.com/):

Daarmee worden criminelen nog meer richting CDN's en Big Tech cloud hosting (Google, Amazon, Microsoft, LeaseWeb, Rackspace, OVH etc.) gedwongen, en die treden ook steeds minder op tegen cybercriminelen.

Het is noodzakelijk dat internetters, voor (voor hen) risicovolle websites, kunnen vaststellen wie daar verantwoordelijk voor is. Naast dat het totaal niet schaalt om elke internetter dit zelf te laten uitzoeken, wordt dat, online, opzettelijk onmogelijk gemaakt.

Dit probleem kan alleen worden opgelost met vertrouwde en betrouwbare derde partijen, die namens internetters, met duidelijk kenbaar gemaakte betrouwbaarheid, de traceerbare identiteit van de verantwoordelijke voor een website vaststellen en in een digitaal ondertekend document opnemen. Dat is precies waar digitale certificaten voor bedoeld zijn.

Een domeinnaam bevat, in steeds meer gevallen, onvoldoende informatie om de identiteit van de verantwoordelijke voor een website vast te stellen. Daardoor kun je die entiteit niet (laten) vervolgen als zij of hij jou belazert. Dit maakt het internet onnodig steeds onveiliger.

Alle redenen die je hier aanhaalt zijn juist wél redenen om ervoor te zorgen dat niet elke `jan-met-de-korte-achternaam een domeinnaam kan registreren, maar terug te gaan naar het model van eind jaren 90 dat het registreren van domeinnamen was voorbehouden aan bedrijven.

De selfmade haptotherapeut of bloemschilder hééft ook helemaal geen domeinnaam meer nodig zijn zijn business aangezien dat inmiddels is ingehaald door Instagram en TikTok.

OF maak de registratie van een domeinnaam gewoon 3000 euro per jaar of zo.

Het is geen toeval dat dit soort scams begonnen nadat een domeinnaam door ieder jan l*l geregistreerd kan worden voor een euro per jaar.

Buiten de andere security features die IPv6 biedt zie ik dit punt ook zeker als een belangrijk security voordeel van IPv6. Kan een eindpunt met een /64 lekker 18 miljard miljard services op unieke IP-adressen hosten in plaats van al dat gedoe met SNI.

Ik heb geen moeite met de eis dat publieke CA's een traceerbare identiteit moeten vaststellen. Het ondertekenen van een certificaat zou een verklaring van de CA moeten zijn dat deze identiteit vastgesteld en gecontroleerd is. En dat de CA bereid is die identiteit aan autoriteiten te verschaffen bij een gerechtelijk bevel.

Maar opnemen in het certificaat... Oei. Voor mij is (de mogelijkheid tot) anonimiteit op het internet een belangrijk recht dat niet vervalt als je een website wil hosten waar niet de alarmbellen in elke browser bij afgaan.

Het ophouden met het tonen van de bedrijfsnaam bij EV certificaten is erg jammer geweest. Het was geen perfecte oplossing, maar het was wel een middel dat de voorzichtige gebruiker kon helpen.

De ideale CA structuur (gecombineerd met browser functionaliteit), die de mogelijkheid tot publieke anonimiteit bewaart, maar wel voordelen biedt om oplichting te voorkomen of achteraf op te sporen, zou in mijn ogen zijn:

- Weg met DV-only certificaten. Doei Let's Encrypt.

- Vervang dit voor iets dat je Simple Validation zou kunnen noemen. Gelijk aan huidige DV-only, behalve dat de CA hiermee verklaart de identiteit van de aanvrager vastgesteld te hebben en aan autoriteiten kan overleggen in het geval van fraude. Identiteit niet opnemen in Certificaat.

- Gewoon weer in de browserbalk tonen van de organisatienaam bij EV certificaten. Maak het onderscheid tussen niet-EV en wel-EV certificaten in elk geval zichtbaar. Nee, niet iedereen controleert het elke keer, maar het is beter dan niets.

- Bring back het groene slotje. Laat hem misschien de eerste paar seconden dat je een pagina zonder EV certificaat laadt knipperen. En zet er "Identity unknown" naast. Als je dat normaal nooit ziet als je bij de bank inlogt, dan trekt dat misschien nog een beetje de aandacht. Maar je moet gewoon een HTTPS website kunnen hosten zonder dat elke bezoeker je identiteit kent.

Jan Lul hier, met een eigen domeinnaam. Kan je op Instagram of TikTok e-mail ontvangen? Kan je ermee naar een andere provider overstappen als je huidige je niet meer bevalt, zonder van e-mailadres of webadres of wat dan ook te moeten veranderen? En moet ik voor die mogelijkheid opeens duizenden euro's per jaar gaan betalen terwijl ik het nu voor een paar tientjes krijg? Ben jij zo aardig om het verschil voor mij op te gaan hoesten, en voor wie er nog meer door geraakt wordt?

Misschien moet je even wat verder kijken dan je eigen neus lang is.

Om je eerste vraag te beantwoorden, ja dat kan inderdaad. Alleen heet het daar geen e-mail maar anders. Bovendien heb je geen provider meer nodig (ik neem aan dat je hosting partij bedoelt). Maar als je dan zo’n groot bedrijf bent en je spullenboel bij de KVK en belastingdienst hebt gedeponeerd schrijf je die 3K maar af op je bedrijfskosten, en mag je van mij de netto kosten daarna inderdaad best doorbelasten ja.

Maar de Suske en Wiske verzamelaar, mooi weer dichter of hobby psycholoog hebben geen WWW-producten nodig.
Daarvoor zijn er na 1990 genoeg andere faciliteiten op internet beschikbaar gekomen.

Dat is de enige oplossing die werkt tegen deze vorm van internetfraude. Maar als we met z’n ahem liever in de jaren 90 willen blijven hangen want “niemand pakt mij wat af” is dat ook een keuze.

Totale nonesense

Wat denk je dat er gebeurt als domeinen niet interesant meer zijn voor phising dan verplaatsen ze zich naar andere mediums. De scams waren er al toen we nog werkte met IP in adres balk het is alleen door automatisering tich keer makkelijker geworden om services op te zetten.

Daarnaast worden er ook heel veel scams gedraaid over legitieme domeinen door exploits en injecties dus die ga je hier ook niet mee uit de weg. Sterker nog dan krijg je false sense of security bij mensen als ze weten dat het zoveel geld kost omeen domein in de lucht te houden want dan kan het geen scam zijn right.

Naast dat geen enkele top level domain organisatie de inkomsten door hun neus laat boren omdat het zogenaamd veiliger is. Dan krijg je straks bepaalde landen die spot goedkoop dit gaan aanbieden en de concurentie aangaan met reguliere top level domains.

Waar ze moeten mee kappen zijn alle overbodige top level domains beperk het tot
1 land tld 1 non profit en 1 commerciele 1 overheid en de rest zoals militaire etc via afgeschermde domeinen.
Niet die bs van .top .xyz .dad en alle andere troep die ze elk jaar verzinnen. Dan kun je als isp al heel wat spul op slot zetten zonder constant rekening te moeten houden met andere tlds. Je hebt ook maar een enkeling aan aanspreekpunten.

Het enige resterende probleem is subdomeinen en daar is helaas niks op te verzinnen momenteel. Daar hadden we nooit aan moeten beginnen. Deze versimpeling gaat niet gebeuren maar dat zou een hele hoop administratie schelen.

Al het genoemde is wensdenken en niet realistisch.

De phishing scams zullen zich altijd verplaatsen naar een ander medium als domeinnamen niet meer interessant zijn. Of dat nu gebeurd door een onfeilbare PKI infrastructuur of een verbod op het aanvragen van domeinnamen maakt daarbij niet uit.


Precies, daarom is het implementeren van een onfeilbare PKI infrastructuur ook totaal achterhaald.


Dat probleem is op te vangen als er vanuit de overheid eindelijk eens gestuurd word op voorwaarden om een domeinnaam te mogen aanvragen.

Wat jammer.

Waar het oorspronkelijke Internet ooit opgezet was als bron van vrijheid , zien we hier weer telkens weer de controlfreaks die het willen beperken tot een elite feestje voor "ons soort mensen" (cq "onze werkgevers" ).

Niet heel verbazingwekkend, want achter de baarden en anarcho zwarte t-shirts zijn nogal wat systeembeheerder-types - en al helemaal degenen die iets met security hebben - waanzinnige controlfreaks.

Echte dictatortjes op hun systeem, en natuurlijk dromen ze ervan om dat voor een hele maatschappij door te voeren.

Vrijheid is nooit de reden geweest voor het ontstaan van internet. Mocht je een boekje hebben waarin dit wél staat, plaats dan aub even de link.

En bovendien blijkt telkens weer dat men met die "vrijheid" helemaal niet kan omgaan, en dat die vrijheid omslaat in egoïsme (of haat).

Klopt, de Amerikaanse defensie stond aan haar voet.

Dat vind ik weer veel te zwartgallig, internet heeft ook veel goeds gebracht. Het kan alleen stukken beter.

M.b.t. de andere reacties: domeinnamen zijn internet-adres-notaties. Maak er niet meer van dan het is.

Net als bij een woonadres hoeft een domeinnaam niets te zeggen over de huidige huurder. Elke suggestie, die van uitsluitend een domeinnaam zou kunnen uitgaan, wie de huidige huurder is, kán correct, of per ongeluk c.q. opzettelijk misleidend zijn.

Nieuw voorbeeld, met Amerikanen als doelwit; uit https://www.bleepingcomputer.com/news/security/toll-payment-text-scam-returns-in-massive-phishing-wave/:

De scammers maken vaak misbruik van mensen die niets van domeinnamen begrijpen en/of daar überhaupt geen aandacht aan schenken.

In het "RELATIONS" tabblad van https://virustotal.com/gui/ip-address/43.162.126.105 is momenteel te zien dat er, sinds 2 april j.l., de websites achter 168 unieke domeinnamen zijn gescand door VirusTotal (initieel scannen doet VT meestal kort nadat een domeinnaam van eigenaar is veranderd, of als het om een nieuwe registratie gaat).

Te zien is dat het in dit geval om ruwweg twee vormen gaat:

a) "com-@@@.world" waarbij '@' een willekeurige letter is;

b) "misleiding.com-@@@.world".

Die misleiding is, op de server met dit IP-adres, "e-zpass" of "ezpassmn".

In de lijst hieronder ziet u, van links naar rechts (deze gegevens zijn afkomstig van eerdergenoemde VirusTotal link):

1) de dag in april dat de domeinnaam van de nepsite "resolvde" naar 43.162.126.105;

2) het aantal (van 94) virussscanners dat er, voor zover bekend, op dit moment kwaad ziet in de website achter de domeinnaam;

3) De domeinnaam.

In de lijst heb ik alle regels zonder subdomeinnaam weggelaten, en tevens heb ik .world vervangen door ·world (om onbedoeld openen te voorkómen):

Als internetters bij het, voor de eerste keer, bezoeken van een website een full-screen info-pagina over die site en diens domeinnaam te zien zouden krijgen, kan er veel ellende worden voorkómen.

In dit geval lijkt er niet eens info uit een fatsoenlijk certificaat nodig, want geen enkele zichzelf respecterende partij gebruikt een domeinnaam met daarin ".com-" c.q. ".com." (danwel, generiek, ".TLD-" c.q. ".TLD.").

Anderzijds zouden er domeinnamen kunnen bestaan waar zo'n algoritme onbedoeld op aanslaat. De veiligste weg is daarom de gebruiker waarschuwen als er geen betrouwbare informatie over de huidige huurder van de domeinnaam bekend is (vooral als die domeinnaam zeer recent is geregistreerd). Noodzakelijkerwijs te vertrouwen partijen moeten dan natuurlijk wél fatsoenlijk identificerende certificaten gebruiken.

Zie de links onderin de bovenste posting in deze thread voor meer details van mijn voorstel.

Aanvulling 11:01: ik zie zojuist (in https://virustotal.com/gui/ip-address/43.162.126.105/relations) dat er weer vier domeinnamen bij zijn gekomen: het totaal op de server met genoemd IP-adres is nu 172).

Dat kunnen ICANN/IANA helemaal niet - die zijn niet verantwoordelijk voor het toekennen van IP-adressen aan (eind)gebruikers - en kunnen dus ook niets intrekken. Hooguit zou een van de RIR (Regional Internet Registries), zoals de RIPE NCC, dat kunnen doen, maar de kans is klein dat ze dat op basis van hun policies mogen.
De RIR's zijn er niet voor de handhaving - ze zijn niet de "Internet politie". Dat is een zaak van de autoriteiten. Die kunnen uiteraard wel bepaalde verzoeken neerleggen bij de RIR's.

Uiteindelijk lost dat weinig op, want het probleem verplaatst zich dan naar een nieuwe hoster/IP-range, desnoods in een andere regio.

Precies, aan een IP-adres of domeinnaam kun je niet zien of de huurder goede of kwade bedoelingen heeft.

Maar ook als je, met bekende betrouwbaarheid, de traceerbare identiteit kent van de verantwoordelijke voor een website, zegt dat primair niets over diens betrouwbaarheid.

Echter, naarmate de kans op vervolging voor een cybercrimineel toeneemt, hoe kleiner de kans dat je deze op het web "tegen het lijf loopt" én daarbij (grote) schade leidt. Want als dat onverhoopt toch gebeurt, is de kans groot dat die cybercrimineel (met succes) opgespoord en vervolgd gaat worden. Als die crimineel zich in Rusland bevindt is die kans klein, maar als uit een certificaat blijkt dat een verantwoordelijke zich in een gedoogland bevindt, weet je al dat het dus niet om een site van jouw bank of om een betrouwbare webshop e.d. gaat.

Naast dat je, als je de exacte identiteit (*) van de verantwoordelijke voor een website kent, je pro-actief kunt zoeken naar de reputatie van die entiteit.

(*) Met anders dan volstrekt volatiele gegevens, zoals anonieme domeinnamen en IP-adressen (van servers van hosters die hun klanten door dik en dun beschermen - voor zover zij überhaupt weten wie hun klanten zijn).

Ik denk dat als je er, per definitie, vanuit gaat dat een url op basis van een IP adres (dus zonder domeinnaam) foute boel is, je 90% van al het scam afvangt.

Dat scheelt de opsporingsdiensten ook bakken met werk.

Eerder 0%.

Ik zie zelden links met een IP-adres i.p.v. een domeinnaam, en al helemaal geen kwaadaardige. Een domeinnaam is namelijk superhandig: als jouw phishingwebsite door de eigenaar van een server (na te grote druk) van een server wordt gegooid, installeer je jouw website op een server van een andere hoster, past het DNS-record aan het het geld stroomt weer binnen.

Bovendien is hosting met vele websites achter één IP-adres veel goedkoper.

Alles nog even los van de fast-flux techniek, artikel van vorige week: https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-093a (PDF: https://media.defense.gov/2025/Apr/02/2003681172/-1/-1/0/CSA-FAST-FLUX.PDF).

Certificaten zijn gebaseerd op vertrouwen. Maar je hebt twee soorten vertrouwen, en dat snappen mensen niet:
1: Het vertrouwen dat je communicatie niet kan worden onderschept door 3e partijen.
2: Het vertrouwen dat een website (of iemand) zich juist identificeert en betrouwbaar is.

Dat 2e is absoluut geen sprake van bij een certificaat: Let's Encrypt geeft ze gratis uit voor alles. Ook certificaat instanties die wel geld vragen doen in principe weinig tot geen onderzoek naar de betrouwbaarheid van de aanvrager. Alleen bij duurde EV (ExtendedValidation) wordt er in elk geval onderzoek gedaan naar de aanvrager: is die gemachtigd om het certificaat aan te vragen voor een bepaald bedrijf? Maar dat zegt nog niet veel: ik kan prima een malafide bedrijf opzetten en dan een certificaat aanvraag doen.

Voor enkele zeer gevoelige categorieen moet het volgens mij wel mogelijk zijn om terug te grijpen op overheidscertificaten, met een root certificaat welke ook in handen is van de overheid. Te denken valt aan: zorgverzekeringen/banken/digitale identiteiten. Daar kunnen de browsers/overheden/certificeringsinstanties wel de handen ineen slaan. Maar dan nog: lng.nl lijkt erg op lng.nl: enige verschil is dat je browser dan aangeeft: Ing.nl is meer vertrouwd dan lng.nl want, cert uitgegeven door overheid.

Om het nog maar niet te hebben over het diginotar debacle: je root compromised, en al je overheidscommunicatie dus ook.

Het is een lastig verhaal, ik denk dat de grootste klap is: mensen niet aan het handje nemen, maar daadwerkelijk wat leren. In plaats van het lastiger maken om het certificaat te zien juist simpeler, etc..

Je bedoelt: <NIET GELEZEN, HIER VOLGT MIJN WAARHEID>

Allemaal bull shit:
1: Eén voorbeeld: de zeer veelgebruikte 3e partij Cloudflare onderschept alle https-verbindingen (en ziet de wachtwoorden van iedereen die inlogt op een website die gebruik maakt van Cloudflare: https://blog.cloudflare.com/password-reuse-rampant-half-user-logins-compromised/).

2: Een certificaat zegt, net als een paspoort, niets over de betrouwbaarheid van de toner. Een DV-certificaat is vergelijkbaar met een "paspoort" zonder foto, met uitsluitend een of andere random doch unieke karakterreeks als identifier, waarbij de toner met een wiskundige truc bewijst dat het écht diens paspoort is. Hartelijk fijn maar zinloos: je weet nog steeds niet om wie het gaat en in welk land deze gevestigd is. Je kunt die entiteit dus niet voor de rechter slepen als je belazerd wordt. Het web is kofferbakverkoop uit een auto met afgedekte (en soms valse [1]) kentekenplaten.

[1] DV-cert mis-issuance incidents - straffeloos "natuurlijk" (https://infosec.exchange/@ErikvanStraten/112914050216821746)