Prima!   De volgende stap is zo'n waarschuwing tonen als een DV- (of Let's Encrypt-) certificaat wordt gebruikt.

Je bedoelt waarschijnlijk alles behalve EV certificaten, EV certs zijn namelijk over het algemeen de enige certificaten waarbij de aanvrager echt wordt gecontroleerd op eigendom van het domein.

En daar hebben we al die mooie groene balk met bedrijfsnaam voor ;)

Wat is er mis met een Let's Encrypt certificaat? Volgens mij is dat net zo veilig als welk ander SSL certificaat dat gemaakt is met de juiste parameters. Ik zou zelf zeggen dat het Let's Encrypt certificaat beter te vertrouwen is aangezien er zowel iemand van het EFF als Stanford Law in het bestuur zit. Daarnaast is het ook nog eens not-for-profit maar een stichting.

Als je forward secrecy kan toepassen zou dat normal dus goed moeten werken.

Vrijwel alle forums die ik ken gebruiken nog steeds HTTP voor de inlog.
In de meeste gevallen betreft het forums waar je je mening kunt geven of (technisch) advies kunt vragen of geven.
Het risico indien de inlog daar afgeluisterd zou worden is natuurlijk lang niet zo groot als bij financiele instellingen, webwinkels etc.

Ik heb toch mijn vraagtekens hoe je dergelijke sites zou kunnen stimuleren om HTTPS te gaan gebruiken. In veel gevallen moeten ze dan de forumsoftware volledig omgooien en daar hjebben de meesten geen trek in. Men is al blij een werkende site te hebben. En zeg niet: dan moet die site maar opdoeken, want dergelijke sites zijn soms heel nuttig.

Er zijn echter ook nog steeds webwinkels waar je je via normale HTTP moet aanmelden. En dat kan inmiddels toch echt niet meer. Dus toch maar goed dat er wat aan wordt gedaan.

Waarom? Zulke certificaten werken prima. Het enige verschil is dat zulke certificaten alleen checken of de aanvrager daadwerkelijk controle heeft over het domein waarvoor het certificaat wordt aangevraagd. Terwijl EV certificaten de identiteit van de aanvrager controleren. Daar maken we zoals Mindfart aangeeft al onderscheid voor. De beveiliging is verder het zelfde, mist juist geconfigureerd.

Het zou mooi zijn als alle hostingproviders standaard https zouden aanbieden.

Oorspronkelijk was dat niet zo.

Echter -bij kennelijk gebrek aan regels- hebben een aantal certificaatproviders authenticatiechecks geDeValueerd tot eenmalige toegang tot een klinkt-als-een-beheerder-account@domain e-mail adres (c.q. een server/aftappunt onderweg). Let's Encrypt wijzigt dat in eenmalige toegang tot een "IP-adres" (c.q. een aftappunt onderweg). Beide zijn afhankelijk van DNS en routering. Manipulatie daarvan, later tijdens het surfen, is nou net wat je met https detecteert - mits het certificaat betrouwbaar is. Feitelijk zijn DV- en Let's Encrypt certificaten nauwelijks betrouwbaarder dan een self-signed certificaat.

Er zijn nog steeds CSP's die het wel goed doen, je krijgt bijv. -als het goed is- niet zomaar een PKI Overheid certificaat (strenge authenticatie). Helaas hebben we geen goede middelen om het vertrouwen in aanrommelende CSP's te beperken, en zien gebruikers hooguit het verschil tussen een EV-certificaat en "de rest".

Daarnaast ontbreken regels voor het opnemen van dusdanige informatie (waaronder adresgegevens) in certificaten dat zelfs leken kunnen zien van welke organisatie (los van de soms nietszeggende domainname) het certificaat is, gegevens die een CSP zou moeten controleren voordat zij een CSR ondertekenen. PKI Overheid doet dat ook fout. Als je niet weet wie of wat "Logius" is, is er niets in het huidige certificaat van https://www.digid.nl/ te vinden dat erop wijst dat je met een certificaat van een overheidssite te maken hebt, en m.i. hoort dat wel.

Nb. voordat iemand schrijft "maar je ziet toch PKI Overheid?": bijv. https://www.smartpark.eu/ heeft ook een PKI Overheid certificaat (of dat terecht is gezien de onderhoudsstaat van die server, is wat anders).

Zie hierboven

En?

Ik vermoed dat je HSTS bedoelt (forward secrecy heeft niets met authenticatie te maken).

Een certificaat hoort te bewijzen dat een public key bij een domainname hoort. En mede omdat we domainnames niet hiërarchisch maken, moet het ook bewijzen dat bovenstaande gegevens bij een bepaalde organisatie horen.

Dat tweede punt zodat eventuele kwaadwillenden wel een certificaat kunnen aanvragen voor ingbeleggen.nl maar daar niet in kunnen laten zetten dat dit certificaat van de ING bank in Nederland is.

Ik lees op veel plaatsen het advies dat ik bij internetbankieren en andere gevoelige zaken het certificaat moet checken, maar niemand kan mij toe nu toe vertellen waar ik dan precies op moet letten.

@Erik

Ik snap je punt. Probleem is alleen dat bij een aantal CA's (bijvoorbeeld comodo) je elk certificaat kan aanvragen middels een CNAME, mailtje, of zelfs een bestand op de website(ook certificaten met organisatie informatie in het certifcaat) behalve het EV certificaat.

Op welke criteria zou er dan nog gefilterd moeten worden voor een 'veilig' certificaat? Ik zou er geen weten.

Hoewel dit kweken van bewust wording is zal dit uiteindelijk niets meer zijn dan weer een toegevoegde irriterende factor.

Eenduidig identificerende informatie die door iedereen die dat wil gecontroleerd moet kunnen worden. Voor Nederlandse bedrijven zou dat bijv. een KvK nummer kunnen zijn.

De taak van de CSP is het controleren dat dergelijke informatie de organisatie uniek identificeert en dat zij (de CSP) grondig controleert dat de aanvrager van het certificaat (de indiener van het CSR) gerechtigd is om dat te doen namens die organisatie.

Bij een code-signing certificaat is identificatie van de organisatie zeker nodig, want dan ontbreekt de URL.

Ik begrijp niet waarom notarissen al enorm lang de identiteit van bijv. de verkoper van een woning of bedrijfspand kunnen controleren en zo weten te voorkomen dat bedriegers het pand van een ander kunnen verkopen, en anderzijds CSP's dit niet kunnen noch aan wettelijke regels gebonden zijn - en wegkomen (vet geld verdienen) met flauwe-kul validatie van identiteit (hun kerntaak).