Vandaag vaak dus! ;-)

Oh wat leuk, een smiley!

Dit is (helaas) de "manier" waarop Anoniemen "discussiëren" op security.nl - in plaats van argumenten met steekhoudende tegenargumenten te weerleggen. Het is niet anders.

Twee opmerkingen:

1) Mijn reactie ging over rootcertificaten (eerder in die draad had Named het over Diginotar):

2) Maar je heb zelfs gelijk: één van de problemen van Domain Validated cerificaten is dat ze veel te vaak, zonder consequenties voor de verstrekker, worden uitgegeven. Het incident dat ik hierboven noemde kan worden toegevoegd aan de lijst in https://infosec.exchange/@ErikvanStraten/112914050216821746.

Whoops, ik was niet ingelogd. Sorry.
Het was als grap bedoeld, niet als argument voor discussie. (vandaar de smiley)

Hierom had ik dus geopperd de autoriteit van CA's via hun certificaten uit het verbindingsproces weg te nemen. Stop de public key van de server gewoon in een DNS record en je kan het hele certificaat gebeuren achterwege laten voor de TLS/HTTPS verbinding. Alle risico's die bij certificaten en CA's komen kijken zijn hiermee dan geëlimineerd. Dan hoef je ook geen certbot meer te draaien en hoeft Let's Encrypt geen DV certificaten meer uit te delen.

Het enige risico dat dan overblijft is impersonate via nepwebsites, vaak op sterk lijkende domeinen.
Hier heeft een certificaat wel nut, mits dit zo is vormgegeven dat gemiddelde gebruiker het dan ook gebruikt.

Dan zouden er nog 1024 (of 512) bit RSA sleutelparen worden gebruikt (nul toezicht), was er geheel geen revocation, en was ook het volgende soort probleem niet opgelost, uit https://infosec.exchange/@ErikvanStraten/112914050216821746:
Bovendien is DNS van oudsher een uitermate onveilig protocol en nee, dat is nog lang niet gefixed met wensdenken zoals DNSSEC, DoH en DoT. Maar zie vooral het volgende punt.

Dat "enige" risico leidt ertoe dat de wereld moord en brand schreeuwt over phishing maar niemand wil bewegen.

M.i. heb ik in https://security.nl/posting/884774 het probleem duidelijk uitgelegd a.d.h.v. de video.

Ook als er mensen zijn die het niet (willen of kunnen) inzien, het is simpelweg noodzakelijk dat je weet met wie je communiceert. Een verhuurde domeinnaam zegt niets over wie de huidige huurder is.

Wat Erik van Straten zegt is correct.

Het echte probleem is niet of en in hoeverre de verbinding is versluteld
Het echte probleem is dat een bewust bekwame slechterik zich kan verstoppen
waardoor phishing of frauduleuze websites hun gang kunnen gaan.

Wat kan je hieraan doen
- stop het gebruik van alleen Domain Validated
- start herkenbaarheid van Extended Validation en stel dit als minimum verplicht voor elke zakelijke website
- Gebruik bij voorkeur Qualified Web Authenticatie Certificaten die wettelijk zijn ingeregeld (aansprakelijkheid, erkenning, etc). Daarmee heb je ook bescherming tegen BigTech's terreur (die veiligheid op internet styerk verminderd).
- Start het verplicht het ondertekenen van alle zakelijke emails (bijv met een Qualified Electronic Seal). Met name alle commercieel bedoelde emails.

Als ontvanger kan je de verzender van emails en de eigenaar van de websites vragen om dit in te regelen.

FB

'Insanity is doing the same thing over and over again and expecting different results. '

Het IS - wereldwijd, op alle browsers, geprobeerd - "groen slotje" .
Het werkte NIET. Nergens.

En dan heb je van die oogkleppen types zoals Erik en jij die - omdat ze zelf de enorm kleine minderheid zijn die het wilde/snapte/gebruikte - geloven dat het wel werkt als je het maar nog een keer probeert.

Want het idee is zo logisch.
En anders vooral verplichten, want ze moeten naar Ons Techies Luisteren want WIJ WETEN HET BETER.

En een mislukt experiment met een miljard gebruikers schrikt ons niet af, want het lag aan niet aan het idee dat wij zo goed vinden.



En natuurlijk - omdat de hele wereld het idee liet vallen moet daar een grote Big Tech congsi achter zitten.


Natuurlijk, nog meer verplichting.

het verbaasd me steeds minder dat systeembeheerders types altijd een wat autocratische inslag hebben.

Beste 14:51
Hier FB.

Ik ga u niet overtuigen. Dat is niet erg.
Toch dank voor de gelegenheid.
Dus voor alle anderen.

- Bigtech heeft het groene slotje kapot gemaakt. Dat is aantoonbaar.
- voordat Bigtech het groene slotje kapot gemaakt heeft, was Extended Validation (waar eigenaar website bekend is) een succes. Een waarborg van aantoonbare betrouwbaarheid.
- het groene slotje (Extended Validation) impliceerde dat niet het hele proces van certificaat leveren kan worden geautomatiseerd.
- Bigtech wenst het hele uitgifteproces te kunnen automatiseren.
- Daarmee kan Bigtech de certificaat levensduur keer op keer verkorten
- totdat de meeste (lees alle) commerciele CA's dit niet meer kunnen volgen en hun activiteiten moeten staken.
- het gevolg is dat er slechts enkele (door BigTech gecontroleerde CA's over blijven.

Dan mijn gedachtenexperiment
En waarom dan wel
- In een certificaat zit een validatie URL
- Ook als de response er niet is zal de URL een ping afgeven dat u surft naar BMW, Audi, Volkswagen, Mercedes.
- Bigtech weet dan dat de advertentieruimte op uw browser waardevol is geworden voor BMW, Audi, Voilkswagen, Mercedes
- iets wat normaal door tracking cookies wordt gedaan.
- Doordat nog slechts enkele CA's over zijn hebben die CA's overzicht over het webgedrag van alle webgebruikers. Een trackingcookie is dan niet meer nodig.

Dus is (mening) het de Bigtech te doen om ultieme macht over CA's die validatiepings moet delen met BigTech.
Daarom
- maakt Bigtech (LetsEncrypt voorop) de certificaat levensduur steeds korter.
- is Bigtech ridicuul streng in haar opvatting op non-compliance (let op, dat is iets anders dan veiligheid)
- heeft het groene slotje moeten verdwijnen.

Het feit dat de veiligheid van webgebruikers daardoor omlaag gaat, dat is collateral damage voor Bigtech.

Op het web is identiteit het meest waardevol. En dan wel de aantoonbaar betrouwbare.
- natuurlijk behoren webgebruikers anoniem te kunnen browsen.
- tegelijkertijd zal elke maatschappelijke of commerciele organisatie zich aantoonbaar betrouwbaar willen kunnen presenteren
- en willen die maatschappelijke en commerciele organisaties niet dat bedriegers misbruik maken van hun goed naam.

Daarom Cyber Hygiene
- elke maatschappelijke en commerciele organisatie heeft belang om aantoonbaar de eigen betrouwbare identiteit te tonen. Dat moet niet verplicht. Het moet verplichtend zijn voor Bigtech om die betyrouwbaarheid zichtbaar te maken voor webgebruikers. De verplichting moet zijn: groene slotje terug voor Extended Validation. Een blauw slotje met eIDAS logo voor Qwalified Web Authenticatie Certificaten. Dan weet de webgebruiker zonder moeilijke technische kennis de mate van aantoonbaarheid en wettelijke bescherming.
- Elke maatschappelijke en commerciele organisatie heeft belang om eigen email uitingen het stempel betrouwbaar mee te geven op een manier dat een emailontvanger dat onmiddellijk kan herkennen. Ook niet dwang. De dwang moet er zijn voor Bigtech. Namelijk dat in de email clients een Qualified Electronic Signature (of Seal) herkenbaar wordt gepresenteerd.

De vrijblijvendheid en graaicultuur (rupsje nooit genoeg) van Bigtech mag wel eens stoppen.

Overigens
- er is al veel regelgeving. Gelukkig.
- voor een deel is het hierboven beschrevene al ingeregeld (eIDAS).
- zie eens wat Bigtech doet met bescherming persoonsgegveens
- 14:51 wil blijkbaar iets analoogs als zonder wegen-verkeers-wet. Ik ben blij dat die er is. Dan kan ik tenminste veilig van Parijs naar Groningen rijden en kan ik zelfs enigszins voorspellen hoe laat ik aan kom.

Beste 14:51.
- mijn technische kennis is niet leidend voor wat ik denk en doe.
- Autocratisch ben ik al zeker niet. Integendeel.
- Wereldvreemd ook niet.
- Begrijpen hoe de wereld werkt, tja beschuldig me daar maar van.

Ik laat het maar hier bij.

Nee, dat is nu juist niet zo.

Het was GEEN SUCCES. Het was geimplementeerd. Het was _geprobeerd_.
En alleen een verwaarloosbare fractie van autisten "snapte" had.

Je definitie van succes voor zo'n feature moet niet zijn "Het werkt technisch. Er is een groen slotje , met de juridische naam".

Je definitie van succes hiervoor moet zijn : DE GEBRUIKER ziet het/snapt het / verwacht het / en GEBRUIKT HET , als in , wordt voorzichtig bij het bezoeken van sites zonder "het echt betrouwbare groene slotje" .

Dat hele experiment heeft wereldwijd jaren gedraaid - en ondanks dat _iedereen_ het serieus probeerde - de herkenbare signalering zat in alle browsers, en allerlei "serieuze" sites haalden een EV cert , banken deden campages "3 x kloppen" - en het pakte gewoon niet.

De verschuiving naar mobiel (veel kleiner scherm, dus de ruimte om de hele juridische naam weer te geven werd veel kleiner) hielp natuurlijk ook niet.

Rondom het uitfaseren kun je een hoop motivatie voor EV (hint - weinig security, veel business) besproken zien worden door Troy Hunt
https://www.troyhunt.com/extended-validation-certificates-are-dead/
https://www.troyhunt.com/extended-validation-certificates-are-really-really-dead/



Don't quit your day job .
Als conspiracy analist ga je het niet redden.

Net als Erik heb je een ALGEMENE driver gemist of genegeerd .

Sinds Snowden is er, breed gedragen door een groot deel van Internet (techies en business) - een wens voor "encryptie overal" .
Dat bereik je alleen maar met massale automatisering . En dat heeft wel een paar jaar geduurd voordat "project certificate update" met enorm veel handmatig geklooi - en natuurlijk vergeten deadlines - naar standaard automatische renewal ging.
"We" lachten erom dat ook/zelfs een Microsoft nog wel eens een cert liet verlopen - maar voor "het IT vak" is het gewoon een schande dat dat soort dingen met excelletjes, cron mailtjes, en dagen tijd van systeembeheer liepen.

Dat - heel brede bescherming tegen globale sleepnetten - krijg je alleen met massale - (near)zero cost certificaten.

Dat is onmogelijk met een heel zwaar/kostbaar/niet automatiseerbaar aanvraagproces.
Het was er ooit - en de meerwaarde was nihil.


Die OCSP link was een concept uit de tijd van langlevende "betrouwbare" certs, die ingetrokken moesten kunnen worden als ze (met hun lange levensduur) eens compromised zouden raken.

Natuurlijk met de beste intenties verzonnen door nette technerds .

En wat je blijkbaar ontgaan is - Lets Encrypt kan niet wachten om die OCSP link TE KILLEN !
Want het behappen van de load die dat geeft begin ze zwaar te vallen.


dus non sequitur.


Encryptie default overal voor iedereen is _verhoogde veiligheid_ .

ik knip de rest van conspiracy maar weg.



Maar natuurlijk, het geloof in de maakbare mens .


Je bent ziende blind. Je technische inslag is overduidelijk leidend voor wat je denkt dat effectief kan/moet/zal werken.

Ik begrijp de liefde / logica voor het idee "laten we sites herkenbaar markeren als de identiteit extra betrouwbaar is vastgesteld".
Die neiging zit bij iedereen met een wat technische inslag . Bij mij ook. Ik had ook gedacht dat EV prima zou gaan werken.
En de machinerie om het te bouwen ligt ook voor de hand .

Alleen als het _uitgebreid_ geprobeerd is - en niet het gehoopte EFFECT had, moet je accepteren "leek super logisch, maar het werkte gewoon niet" .
Het leek "iedereen" erg logisch , en het kwam ook zonder veel tegenstribbelen "overal" in. Een hoop features hebben al minder geluk.
En dan mag je wat langer nadenken over het falen dan afschuiven op een vage samenzwering van Big Tech omdat je niet kunt bevatten waarom zo'n logisch idee niet "gewoon werkt" .

Wat erg veel techneuten gewoon niet willen snappen - hun eigen denkpatroon is niet representatief .
Sommigen zijn er trots op , dat ze iets willen of kunnen of gebruiken dat "normale mensen niet snappen" .
Helemaal prima.
Maar geen leidraad voor succes wanneer je op die basis iets voor "de hele wereld" bouwt .

Het zal wel voor meer niches van kenners of experts gelden dat hun persoonlijke smaak en voorkeur niet representatief zijn - zie kunsten, culinair - maar IT is het domein waar ik de voorbeelden van dichtbij zie , en soms ook op globale schaal.

Klaarblijkelijk zijn er twee (van de 3) problemen die certificaten proberen op te lossen:
1. Beveiligen van de verbinding tussen de server en de browser.
2. Bevestigen dat "domeinX.tld" daadwerkelijk van bedrijf X is.
3. Ervoor zorgen dat het domein naar de juiste server wijst.

Nummers 1 en 3 zijn zaken waarvan de gemiddelde gebruiker redelijkerwijs verwacht dat dit al gebeurt, als ze zich al bewust zijn dat dit een ding is. Deze technische taken mogen, zolang er geen problemen zijn, op de achtergrond uit het zicht gebeuren zonder enige vorm van gebruikersinteractie.

Nummer 2 heeft juist WEL gebruikersinteractie nodig. Gebruikers moeten zo makkelijk mogelijk kunnen controleren of ze op de juiste website zitten. Hierbij moeten de W's (Wie, Wat, Waar, Wanneer) zo duidelijk mogelijk beantwoord zijn. Een oranje "onbekend" mag zichtbaar zijn als dit ontbreekt. Waarschijnlijk is het verstandig als de gebruiker (eenmalig) geforceerd word om dit te controleren vóórdat ze enige vorm van login of betaalgegevens invoeren.

Dit zijn zo'n beetje de eisen die ik zie qua website beveiliging. Ik heb mijn eigen meningen over hoe dit ingedeeld mag worden, maar wat we wel met zekerheid kunnen stellen is dat het huidige systeem van DNS en Certificaten gewoon ontoereikend is. Van DNS kapingen en browser UX problemen via IDN oplichtingen naar certificaten die verkeerd uitgegeven zijn of belangrijke informatie missen, dit moet gewoon anders of beter.

Opinie:
Zelf zie ik liefst een opsplitsing waar de technische beveiliging (1&3) vanuit de domeinregistratie komen, al dan wel via een systeem dat veiliger is dan DNS. Daarbij zie ik graag de afhankelijkheid van een vierde partij zoals Certificate Authorities weg vallen. De CA's mogen zich focussen op het verifiëren van identiteiten en het koppelen van deze aan domeinnamen.
Hierdoor veranderd het threat model voor websites en CA's in een positieve zin. Websites kunnen geen AitM aanval meer hebben door gelekte of gestolen (root) certificaten, waardoor de "threat pressure" voor CA's omlaag gaat en de gevolgen ook kleiner worden. CA's worden dan wel weer meer relevant, want nu is een certificaat (met W's) ineens weer aantrekkelijk voor organisaties, gezien gebruikers deze gegevens getoond krijgen voordat ze een account aanmaken of een aankoop doen. Dit geeft eindgebruikers ook de kans om phishing of misleiding op te merken.

Mijn visie vereist echter wel een redelijke aanpassing aan het internet ecosysteem, gezien DNS en vooral certificaten op de schop moeten. Maar het was toch al ontoereikend, dus ik denk dat dat niet zo erg is. Wat ik hierboven beschreven heb is niet bepaalt gepolijst of perfect, maar ik denk dat het beter zou zijn dan dat we nu hebben. Domeinen zijn veiliger (als de IT beheerder dit goed doet, wat sowieso al een vereiste is), CA's hebben minder dreiging en kunnen zich meer focussen op hun kerntaak, gebruikers krijgen de kans om phishing op tijd op te merken en bedrijven kunnen zich daardoor gerust voelen.

@Named: een domeinnaam is, net als een telefoonnummer, uniek en (meestal) relatief kort. Ook domeinnamen worden verhuurd en sommigen wijzigen vaak van "eigenaar" (huurder). Vanwege de lengte is een domeinnaam handig voor in een adresbalk, maar meer dan een potentieel misleidende alias is het niet.

Om een oplichter te kunnen vervolgen moet je NAW-achtige gegevens hebben. Gegeven een domeinnaam zijn die gegevens, in de meeste gevallen, opzettelijk ontoegankelijk gemaakt (of er wordt ordinair over gelogen). Prima voor een privéwebsite met foto's van een tuin o.i.d., maar absurd in het geval van websites met grote risico's voor de bezoekers - aan wie alle verschillen in de betrouwbaarheid van authenticatie, met voorbedachte rade, worden onthouden.

Ik zie niets in jouw voorstellen dat ertoe zal leiden dat phishing zal afnemen.

Of je het leuk vindt of niet, je ontkomt m.i. niet aan (noodzakelijkerwijs betrouwbare) derde partijen die zorgvuldig die identiteit van verantwoordelijken voor websites verifiëren en, in bepaalde mate (kenbaar gemaakt), garanderen.

Daarom is het ook zo "leuk" dat diezelfde Troy Hunt zijn inloggegevens deelde met criminelen op
mailchimp-sso[.]com: https://www.troyhunt.com/a-sneaky-phish-just-grabbed-my-mailchimp-mailing-list/.

Troy kon, in zijn browser, namelijk nergens aan zien (*) dat die website niet van Mailchimp was.

(*) Zijn browser waarschuwde hem niet dat hij deze website nog nooit eerder had bezocht, en toonde niet, om die reden, een volledige pagina met alle bekende gegevens over die website (zoals: de domeinnaam is kort geleden van "eigenaar" (huurder) veranderd, en er is niets betrouwbaars bekend over die huurder) - voordat er überhaupt content van die website werd opgehaald.

En niet meldde: "deze website heeft een Domain-Validated certificaat. Tenzij u op andere betrouwbare wijze weet van wie de domeinnaam
mailchimp-sso[.]com is, moet u deze website als volstrekt onbetrouwbaar beschouwen. Het kan immers om een website van oplichters gaan. Dus niets voor waar aannemen, niks downloaden en zeker niet inloggen en/of andere vertrouwelijke gegevens mee delen".

Wilt u toch doorgaan en deze website vertrouwen?
(o) Stoppen
(  ) Bij volgende keer openen opnieuw waarschuwen
(  ) Vertrouwen, bij volgende keer openen niet waarschuwen

Hoi Erik,

Jij richt je blijkbaar op het achterhalen en vervolgen van oplichters in plaats van het lastiger maken van oplichting zelf.
Ik denk dat beide zaken moet gebeuren, maar ik heb zorgen over hoe jij dat wilt doen.

Dus het geforceerd tonen van een bedrijfsnaam, omschrijving, KVK nummer, land & regio, etc voordat iemand risicovolle gegevens invoert zal geen invloed hebben op phishing, zeg jij? Dat ineens alle gegevens van bol.com of zo een oranje gekleurde "[onbekend]" zijn zal bij helemaal niemand enige vorm van alarmbellen doen rinkelen?

Dit was toch waarvoor certificaten waren uitgevonden? Om de geverifieerde identiteit van de eigenaar vast te stellen?

Hier heb ik zorgen bij, want dit schaad de privacy die we juist zo hard proberen te verdedigen, met precies hetzelfde argument als dat van encryptie-backdoors. Criminelen zullen toch wel liegen of iemand anders zijn identiteit gebruiken om buiten schot te blijven. Of er word wel van een buitenlandse domein gebruik gemaakt waar de regels "iets soepeler" zijn. Dit gedeelte krijg je niet dichtgetimmerd. Dat gaat gewoon niet lukken, ben ik bang. En dus raakt de brave burger weer een stukje privacy kwijt zonder dat het iets uitpakt. Ik kan geen (semi-)pseudonieme "namedsecurityguy.nl" domein of iets dergelijks registreren zonder mijn naam op te geven welke dan (publiekelijk?) in allerlei registers komt te staan.

Dit is niet aan de CA's, maar aan de registrars om beter te doen. Zij hebben trouwens niet eens een naam nodig denk ik, want er is immers betaald voor het domein. Dat financiële spoor is in mijn ogen een stuk betrouwbaarder dan de willekeurige naam die aanvallers zelf mogen invoeren.

Ik ging ervan uit dat aanvallers altijd wel een echt-lijkende domeinnaam in handen kunnen krijgen.
Daarom is "de naam die de registrar heeft" in mijn ogen niet de juiste oplossing of maatregel tegen phishing domeinen.
(Maar daarmee wil ik niet zeggen dat er op dat gebied niks verbeterd hoeft te worden!)

Een groot deel van de wereld is corrupt. Oplichting onmogelijk maken is volstrekt kansloos.

Ook het vervolgen van oplichters is grotendeels kansloos, vooral als zij in landen als Rusland of China zitten. Onze pre-internet maatschappij kende al de KvK. Als je zaken doet met iemand, wil je weten met wie dat is. En hoe groter jouw risico's, hoe zekerder je dat wilt weten. Misschien krijg je onvoldoende zekerheid, en wil je jouw risico's (deels) afdekken met een verzekering.

Die gegevens wil je om te kunnen vervolgen indien die persoon jou belazert. Of dat lukt, moet je maar afwachten. Het doel hiervan is vooral een preventieve werking: doe geen risicovolle zaken met mensen waarvan de identiteit niet bekend is, bijv. omdat zij niet in NL zijn geregistreerd.

Je hebt nooit 100% garantie dat iemand is wie zij of hij zegt te zijn. Wat je daarom moet willen weten is hoe groot de kans is dat iemand niet is wie zij of hij zegt te zijn. Je wilt dus weten hoe betrouwbaar de identiteit verifiërende partij is, en hoe betrouwbaar die verifiërende partij identiteiten verifieert.

Nee, dat is juist niet wat ik zeg. Wat ik zeg is dat een betrouwbare derde partij moet hebben vastgesteld dat die gegevens kloppen, en met welke betrouwbaarheid. Een KvK-nummer vermeld in een webpagina van een nepwebsite zegt niets.

Ja, maar precies die informatie wordt weggelaten in DV-certificaten, en überhaupt niet gecheckt door de certificaatuitgever.

We stoppen toch ook niet met paspoorten en rijbewijzen omdat criminelen vervalste exemplaren daarvan in handen kunnen krijgen?

Zoals ik al schreef: je wilt weten hoe betrouwbaar een certificaatuitgever is (op basis van historische gegevens, d.w.z. reputatie, en auditing door betrouwbare onafhankelijke auditors), en hoe betrouwbaar hun identiteitsverificatieproces is.

Wat dit met brave burgers te maken heeft, ontgaat mij volledig.

De praktijk is dat criminelen, volstrekt anoniem, nieuwe domeinnamen registreren (aanmelden en huren) of bestaande huren.

Van mij mag jij een website met domeinnaam "namedsecurityguy.nl" huren.

Of met:
rabobank[.]net,
lîdl[.]be of
mailchimp-sso[.]com.
Geheel anoniem.

Maar dat dit anoniem is, wil ik weten als ik een website met zo'n domeinnaam bezoek. Om verschil te kunnen maken met resp.
rabobank.nl,
lidl.be en
mailchimp.com - anders dan puur op basis van de domeinnaam. Want dergelijke sites (waar je bijv. op in moet loggen) horen niet anoniem te zijn. En mijn browser hoort mij te helpen dat onderscheid te maken (zie mijn laatste reactie).

Nb. verbaas je ook eens over de verspilling van "gratis" certificaten door domeinparkeerders, bijvoorbeeld te zien in https://crt.sh/?Identity=rabobank.net. Iets dat aan de lopende band doorgaat, zie https://virustotal.com/gui/ip-address/76.223.26.96/ (open de RELATIONS tab) - als voorbeeld van één IP-adres van slechts één domeinnaamparkeerder.

Naast dat er zat mogelijkheden zijn voor een gratis domeinnaam heb ik al te vaak vele redenen aangevoerd waarom authenticatie (met meerdere betrouwbaarheidsniveaus) niet de taak is, noch moet worden, van registrars.

Je spreekt jezelf nog tegen ook, want zojuist wilde je nog "namedsecurityguy.nl" kunnen registreren. En, zo vermoed ik, zonder dat dit bakken geld kost. En wie weet wil je helemaal geen (publiek toegankelijke) website. Waarom zou een registrar daar iets van moeten vinden, en/of (zeer kostbaar) jouw identiteit betrouwbaar moeten verifiëren? Ik kan, zonder identiteitsbewijs te tonen, een pre-paid SIM-kaart kopen. Waarom? Omdat een telefoonnummer een nietszeggende, maar wel unieke, alias is voor mijn telefoon (zodra ik die SIM-kaart daarin heb gestopt).

Je praat weer eens in raadsels.

Ik denk dat we flink langs elkaar heen gepraat hebben... :/
(Ik zal ervan uitgaan dat dit aan mij ligt en mezelf in deze reactie proberen duidelijker en korter te verwoorden.)

Helaas. Maar dat betekent niet dat je geen maatregelen hoeft te nemen om het risico laag te houden!
Dit is een mentaliteitsdingetje: Dat Rusland/China corrupt is wil niet zeggen dat wij dat ook hoeven te zijn.

en
Blijkbaar was ik niet duidelijk genoeg met mijn idee.
Gegevens zoals naam, bedrijfsomschrijving, KVK nummer, land & regio zouden juist IN het certificaat moeten staan.
En het certificaat moet dan getoond worden, liefst vóórdat wachtwoorden of bankgegevens worden ingevuld.
(En als deze gegevens in het certificaat staan, dan MOETEN de CA's dit natuurlijk geverifieerd hebben.)

Oftewel: Betere certificaten die de lading dekken getoond in een browser popup.


Het hele tweede gedeelte ging over dat ik vond dat registrars juist NIET aan sterke identificatie hoeven te doen.
Ik had je vorige reactie waarschijnlijk verkeerd geïnterpreteerd en las het als dat jij hier een voorstander voor was.
(Dus dat jij de identificatie van CA naar registrar wou verplaatsen.)

Dus kwam ik met de mening dat ik redelijk anoniem het "namedsecurityguy.nl" domein wil kunnen registreren, en dat registrars géén identificatie hoeven te doen, zolang ze een financieel spoor hebben voor het geval dat de koper er criminele acties mee uitvoert. Dit verklaard als het goed is ook mijn "spreken in raadsels".
(en misschien ook het ontgaan van wat brave burgers ermee te maken hebben.)

Ik dacht (foutief) dat jij het hier had over het traceerbaar maken van de eigenaar van een domein.
Omdat je voor een domein geen identiteit aan een CA hoeft te geven, hebben de CA's geen gegevens voor elk domein dat misbruikt word. Daarom vond ik dat registrars in ieder geval een financieel spoor moeten hebben voor opsporingsdiensten in geval van criminele activiteiten.

Niet mezelf tegenspreken, maar gewoon zeer slecht scoren in begrijpend lezen en mezelf verwoorden dus. :-)
Ik hoop dat dit de boel een beetje recht trekt.

@Named: thanks.

Overigens wil ik geen "pop-ups", want websites kunnen die genereren. Hoewel smartphone-hardware-makers en iOS/Android het steeds lastiger maken, moet het zo duidelijk mogelijk zijn dat info over de website (met de gegeven domeinnaam) uit de browser komt.

Zojuist heb ik nog een "handleiding Virustotal" geschreven voor iemand die, onbedoeld, bij een dropshipping website kleding had gekocht: https://infosec.exchange/@ErikvanStraten/114421053258678606.

Dat soort langdradige tips zou ik niet hoeven geven als elke browser zou laten zien wie er verantwoordelijk is voor een website (of aangeeft dat die entiteit anoniem wil blijven - een teken aan de wand), en welke metadata over die website bekend is.

Ik dacht aan zo'n "overlappende" pop-up.
Als je een bookmark aanmaakt, add-on installeert of een "alert(1);" krijgt, dan overlapt deze pop-up de adresbalk een beetje. Daardoor kan je zien dat het vanuit de browser komt en dat het geen nepvenster is dat de website zelf renderd. Op mobiel word de adresbalk helemaal overlapt als je de website of certificaatgegevens bekijkt, dat is ook een goede indicator.

Ik denk dat dit gewoon geprobeerd moet worden om te weten of het een goede (en veilige) UX ervaring is of niet.
Uiteindelijk hangt het altijd af van de gebruiker's oplettendheid. Niks kan je redden als je gewoon alles weg klikt.
(Weer een project op de stapel... :-)