Door Anoniem: Door Anoniem: Dit is net zo iets als stellen dat er een correlatie is tussen de veiligheid van een wachtwoord en de hoe vaak je die vervangt.. Het gaat er hier meer om dat het proces voor intrekken van een certificaat (het ongeldig verklaren) niet werkt, vooral omdat het niet gecontrolleerrd wordt. Daarnaast is die check te onderscheppen. Een kortere levensduur maakt het venster voor mogelijk misbruik kleiner. 'Niet werkt' zou ik het zelf niet omschrijven. Het zijn vooral performance en in mindere mate privacy overwegingen waarom revocation checking achterwege gelaten wordt. Bij het gebruik van OCSP stapling zijn die bezwaren weg genomen en is de check ook niet meer te onderscheppen. OCSP stapling zelf is af te dwingen als je het juiste certificaat aanvraagt. Als website eigenaar kan je jezelf dus prima beschermen tegen gebruikers die dergelijke mechanismen uitschakelen, mits de browser stapling en must-staple ondersteunt. Dat revocatie binnen het WebPKI een shitshow is, maakt het nog geen ...