[Disclaimer, ik werk voor een CA] Het probleem schuilt hem in het feit dat enkel domain name validatie wordt gebruikt om een certificaat uit te delen. Dit geeft gebruikers een vals gevoel van veiligheid; gebruikers gaan er dan ten onrechte van uit dat ze te maken hebben met een legitieme partij. Bij OV/EV certificaten wordt (eigenlijk werd, want dat is een uitstervend ras) er in ieder geval een poging gedaan om de aanvrager te beoordelen en op grond van die validatie het certificaat al dan niet uit te geven. Hierbij moet ik toch even een kanttekening maken. Er is namelijk een groot verschil tussen wat CAs doen bij OV/EV, en wat doorgaans wordt gezien als een legitieme partij. Voor OV/EV wordt gekeken of het bedrijf bestaat, en er worden validaties uitgevoerd om te controleren waar het bedrijf daadwerkelijk is geregistreerd en vaak wie de eigenaar is. Dat betekend *niet* dat het om een legitieme partij gaat! Mensen verwachten dit vaak, maar oplichters kunnen zelf ook een bedrijf hebben, en daarmee ...