En als iedereen nu ook nog een (gratis) certificaat van
CAcert.org zou gebruiken i.p.v. een self signed certificaat...

Het blijft jammer dat je maar 1 certificaat kunt gebruiken
per IP/poort-combinatie. Dit omdat de TLS-verbinding
(natuurlijk) wordt opgezet *voordat* de HTTP `Host:'-header
wordt verstuurd.

Hierdoor gaat het dus niet mogelijk zijn onder 1 IP meerdere
HTTPS-sites te hosten (tenzij je ze op verschillende poorten
host, maar da's ook niet mooi), wat met `gewoon' HTTP wel
(heel) veel gebeurt. Als de vraag naar HTTPS toeneemt zal
dus de behoefte aan meer IP-adressen (en zo langzamerhand
misschien IPv6) toenemen.

Of zie ik nog iets over het hoofd?

Hmmm. wist ik niet. ik ga het meteen regelen... Het is inderdaad beter dan
een self-signed certificaat en leuk voor thuis. Voor een publieke secure
website kun je beter naar http://www.sslcertificaten.nl gaan.

Nu ik er effe over nadenk... als jan en alleman zomaar root-sertificaten van
websites gaat zitten installeren, dan wordt het er niet veiliger op. Zo'n CA moet natuurlijk wel een strenge voorwaarden voldoen. Ik heb het nu net wel geinstalleerd, maar weet eigenlijk nog niet of ik het er wel mee eens ben.

?

een certificaat van thawte is ook niet zo moeilijk aan te
komen hoor? en zo'n certificaat doet niets meer dan zeggen
dit ip is van die. Daar kun je als webserverbeheerder niet
zo heel veel meer fout mee doen, het is de
verantwoordelijkheid van de bezoeker om het certificaat te
controleren (kijken of het wel voor postbank.nl is
bijvoorbeeld etc.).

Voor kleine thuiswebsites is het alleen maar goed dat er
gemakkelijk certificaten te krijgen zijn.

Nee, een TLS-certificaat zegt `deze public key hoort bij
deze hostname'. Of eigenlijk erger nog: `De CA die dit
certificaat uitgaf *denkt* dat deze public key hoort bij
deze hostname'.


Stuffie heeft het dan ook niet over gewone certificaten,
maar over `root certificates'. Door een `root certificate'
te installeren zeg je eigenlijk: `ik vertrouw deze CA, dus
ik kan alle certificaten die door deze CA zijn uitgegeven
vertrouwen'. Met je browser worden meestal al allerlei root
certificaten van min of meer betrouwbare CA's zoals Verisign
meegeleverd. Het root certificaat van CACert wordt blijkbaar
(nog) niet standaard meegeleverd, dus dat moet je zelf
installeren. En dat is, zoals stuffie terecht opmerkt, niet
altijd een goed idee.

Nu ken ik toevallig een en ander van het verhaal/de mensen
`achter' CACert, en persoonlijk vertrouw ik hen minstens
zoveel als sommige obscure bedrijfjes die je browser
standaard al vertrouwt. In dit geval zou ik er dus geen
problemen mee hebben dat root certificate te installeren.
Maar: blijven oppassen dus!

oh okee ik had niet begrepen dat je cacert nog zelf als root
certificate in moest stellen. daar moet de huis tuin en
keuken gebruiker inderdaad vandaan blijven. Mijn fout, beter
opletten voortaan.

Man wie weet nog dat netscape destijds een verlopen thawte
certificaat had? erg nare situatie.

Ik kan me nog wel herinneren dat Verisign (een van de
grootste CA's) ooit 2 certificaten heeft uitgegeven aan
iemand die zich (frauduleus) voordeed als een
Microsoft-werknemer (een van de meest high-profile klanten).
Dus je kunt je afvragen of je al die CA's in je browser wel
echt vertrouwt. Leid daar maar uit af hoeveel waarde je moet
hechten aan dat slotje in je browser :).

(okee, dat was geen web-certificaat, maar toch. Zie MS
Knowledgebase artikel Q293818 voor details)