Is er straks echt geen verschil meer te zien? Op Safari is het altijd zo geweest dat een EV-certificaat een groen slotje krijgt en een gewoon certificaat een grijs slotje.

Weer een reden om geen Safari te gebruiken; Firefox draait prima op mijn macbook ;)

De adresbalk is nog wel groen, bij DV en OV certificaten is het gewoon zwart.

Ik snap niet helemaal waarom dit verleden tijd is, een EV certificaat garandeert dat de site die je bezoekt echt hoort bij het bedrijf een DV certificaat doet dit niet. Het feit dat je iets verder door moet klikken maakt het niet dat het dan onnodig is geworden vind ik.

@packetguy: lees het blog. Ze zijn echt nutteloos geworden. 1) Er zitten te veel technuische haken en ogen aan. 2) Ze zijn duur. 3) (bijna) niemand let er op of, zelfs als het opvalt, zullen ze zich niet anders gedragen. 4) https://stripe.ian.sh/.

' Ietsasiemple, trammelandiandiemotoriendanwillinistarti. '

Getoonde domain in url-veld is bij Safari toch groen bij EV en grijs bij non-EV?
Ze zoeken het weer eens veel te moeilijk en dan meteen moord en brand schreeuwen.
(nou ja, bijna dan)
Take this, mister de security expert troy hunt.

Een hacker met de naam Troy Hunt die heeft inderdaad geen certificaten nodig.

Voor sommige mensen zit het leven van nature mee.

Technische haken en ogen? Wat dan?

Procedureel zijn ze wel erg vervelend en betekenen een hoop gedoe, dat klopt. Waardoor phishers ze niet graag inzetten.

Voor jouw klaverjasclub wel ja, maar voor sites waar phishers op jagen gaat het verhoudingsgewijs om een peulenschil. En: alle waar naar z'n geld.

Cijfers of verzin je dit ter plekke?

Het is hartstikke goed als onderzoekers problemen aankaarten, en nog beter is het als we daar oplossingen voor zoeken. Een fundamenteel probleem is dat authenticatie nooit 100% betrouwbaar is. Een bedrijfsnaam, die niet uniek hoeft te zijn, moet je dan ook zien als aanvulling op een domeinnaam (die wel uniek is). Dat is de toegevoegde waarde van een EV cert.

Het is voor cybercriminelen een koud kunstje om lijkt-op-domeinnamen te registreren. Vervolgens bestaat er geen enkele belemmering om daar, binnen een oogwenk (voordat iemand je uit de lucht haalt), een -no-questions-asked- DV speelgoedcertificaat (zoals Let's Encrypt) voor te verkrijgen. Een EV certificaat verkrijgen hoort lastig te zijn, sporen achter te laten en tijd te kosten - en precies daarom hebben cybercriminelen er een hekel aan. En exact daarom is het verstandig om EV certificaten in te zetten op sites waarbij cybercriminelen brood zien in het maken van nepsites - om zoveel mogelijk te voorkomen dat nietsvermoedende gebruikers slachtoffers worden. Iets dat uiteindelijk ook op de echte site en diens eigenaar kan afstralen.

Het is ontzettend jammer dat bijv. een techniek als HSTS niet een minimum certificaatbetrouwbaarheidsniveau kan afdwingen. Ja HSTS is TOFU (Trust On First Use), tijdens de eerste sessie ben je kwetsbaar. Niet perfect zoals zoveel in deze wereld, maar beter dan niks. Net zoals EV certificaten versus de rest.

Dat ze een groen slotje en zwart slotje kiezen in plaats van de bedrijfsnaam ok I get it. Kortere url past uiteraard veel beter op kleine schermpjes en de meeste gebruikers snappen toch niet dat een slotje bijna niks zegt. Maar dat ze willen naar helemaal geen onderscheid maken daar moet haast een agenda achter zitten. Ik zie echt 0 onderbouwde reden waarom dat een goed idee is.

Hoe in hemelsnaam kunnen ze DV en OV/EV gelijk noemen als de aanvraag procedure en verzonden informatie voor alle drie anders is.

DV controle via mail + CNAME DNS record
OV controle via mail + CNAME DNS record + WHOIS/KVK controle + telefonische verificatie.
EV controle via mail + CNAME DNS record + WHOIS/KVK controle + digitale ondertekening klant / contract + telefonische verificatie.

DV mogelijkheid tot wildcard subdomein ondersteund.
OV mogelijkheid tot wildcard subdomein ondersteund.
EV enkel bedoeld voor domein geen subdomein ondersteund.


Ja OV en EV in het bijzonder zijn qua prijs overdreven duur. Het verdien model mag duidelijk zijn. Maar DV certificaten hebben weinig waarde als het om veiligheid gaat. Het hele idee achter https staat en valt met de controle door de eindgebruiker of deze het certificaat vertrouwd gebaseerd op de beschikbare info en niet door dat er een plaatje met een slotje in je adresbalk wordt weergegeven.

Vals gevoel van veiligheid is al enorm bij eindgebruikers dit verbeterd die situatie absoluut niet.
paypaI.com / paypal.com soort situaties gaan we vast en zeker hierdoor meer zien sinds criminelen nu een stukje minder moeite hoeven te doen om gebruikers om de tuin te leiden.

Ben benieuwd wat straks plan van gebruiker opvoeden wordt door bijvoorbeeld banken.
Kijk bij de site of er de tekts not secure staat. Zo ja foute boel zo nee ga met uw muis naar uw beveiliging inspector scherm klik op certificate klik op details en controleer alle velden voor uw inlog sessie verloopt.

Gebruikt u geen Chrome (te herkennen aan een soort drie kleurige bal) dan zie een van de volgende andere handleidingen.

Waanzin..