Door Named: Gelukkig word dit hele DV certificaat gebeuren overbodig zodra browser DANE implementeren.
Het "hele DV certificaatgebeuren" is sowieso grotendeels overbodig. Je hebt geen certificaat nodig voor een versleutelde verbinding. De "meerwaarde" van DV-certificaten bestaat eruit dat als de uitgever DNS raadpleegt en van kwetsbare internetroutering gebruikmaakt, dit betrouwbaarder zou zijn dan wanneer jouw browser DNS raadpleegt en van kwetsbare internetroutering gebruikmaakt.
DV-certificaten beschermen ook niet tegen ongeautoriseerde wijzigingen van DNS-records, noch tegen vergeten en "bungelende" subdomeinmamen (zie bijv.
https://www.bleepingcomputer.com/news/security/hazy-hawk-gang-exploits-dns-misconfigs-to-hijack-trusted-domains/ van eergisteren, met passkey-phishing als potentieel bijkomend risico:
https://infosec.exchange/@ErikvanStraten/114541021456446296).
Verder heeft een internetter nul-komma-niets aan DV-certificaten, want zij of hij heeft nog steeds geen idee wie de verantwoordelijke voor een website is. Een domeinnaam
kan iets suggereren, maar voor één authentieke domeinnaam zijn er eindeloos veel misleidende te bedenken. Daarbij, domeinnamen worden
gehuurd. Net als telefoonnummers. Jouw telefoonnummer is niet
jouw telefoonnummer en het kan morgen "van een ander" zijn. De betrouwbaarheid van domeinnamen en telefoonnummers is beperkt, het zijn vaak lastig te onthouden tijdelijke aliases voor een entiteit.
DANE, grotendeels toekomstmuziek, gaat geen van de problemen van DV-certificaten oplossen.
Door Named: Door Erik van Straten: Domeinnamen witwassende parkeerders danken u alvast hartelijk voor uw bijdrage!
Miljoenen voorbeelden, van ééntje een stukje van een lange lijst, uit
https://crt.sh/?q=animesub.in&Deduplicate=y:
<snip>
Wat bedoel je eigenlijk te zeggen?
Van de "zeshonderd miljoen domeinen" waar Let's Encrypt certificaten voor heeft uitgegeven of nog uitgeeft, werd of wordt hoogstwaarschijnlijk het overgrote deel gebruikt voor onwenselijke websites (*) die niet van wenselijke websites te onderscheiden zijn.
(*) Onwenselijk voor bezoekers en dus verspilling van resources. Certificaten uitgegeven voor domeinnamen voor websites gebruikt voor o.a. phishing, malwaredownloads, oplichting en misleiding. Of voor bedachte of gegenereerde domeinnamen die nog moeten worden verhuurd, maar waarvoor alvast een "goede" reputatie wordt opgebouwd - door daar een website met reclamelinks aan te koppelen. Of door in blacklists opgenomen domeinnamen wit te wassen, d.w.z. hun negatieve reputatie te laten afnemen door er, zoveel mogelijk, "onschuldige" websites achter te zetten.
Voorbeeld: als ik
https://ww16.smtp.animesub·in open, zie ik een blauwe achtergrond met de volgende tekst:
animesub.in
Gerelateerde zoekopdrachten
1 Fase Laadpaal >
3 Fase Laadpaal >
3 Fase Thuisbatterij >
2025 Copyright | All Rights Reserved.
Privacy Policy
Die laatste link verwijst naar
about:blank#blockedVoor bijvoorbeeld
paypal.com·in heeft Let's Encrypt (inclusief subdomeinnamen) zóveel certificaten uitgegeven dat
https://crt.sh/?q=paypal.com.in ze niet allemaal laat zien. Sterker, als ik de zoekopdracht met
https://crt.sh/?q=paypal.com.in&exclude=expired beperk tot nog geldige certificaten (max. 3 maanden oud dus), krijg ik ze nog steeds niet allemaal te zien. Als
https://crt.sh/?q=paypal.com.in&exclude=expired&Deduplicate=y niet in een foutmelding van de server resulteert, krijg ik wel alle -nog geldige- certificaten te zien (1 regel per certificaat t.g.v. "Deduplicate=y").
Kijk ook eens in het RELATIONS tabblad van
https://www.virustotal.com/gui/ip-address/13.248.197.209 voor een schier eindeloze reeks
.bond basisdomeinnamen met voor elk een Let's Encrypt certificaat.
In het RELATIONS tabblad van
https://www.virustotal.com/gui/ip-address/104.247.81.90, alsmede 104.247.81.91 t/m 104.247.81.94 en 104.247.82.90 t/m 104.247.82.94 vind je vooral subdomeinnamen van bovengenoemde (en ook nog een aantal onder 185.53.179.94) - eveneens elk met een eigen certificaat. Zie ook
https://security.nl/posting/881798 m.b.t. die, naar mijn inschatting destijds 30.000 certificaten voor criminele .bond domains
per dag (inclusief mijn bron daarvoor).
Sowieso zie ik een wijzigende trend: waar het de afgelopen jaren nog gebruikelijk was om max. 100 junkdomeinnamen in één certificaat op te nemen (voorbeeld:
https://crt.sh/?id=15630849964) met o.a.
abnoamro·nl, soms jarenlang gebruikmakend van hetzelfde sleutelpaar voor ontelbare domeinnamen), zie ik steeks vaker dat voor elke junk-(sub-)domeinnaam één certificaat wordt aangevraagd (en verkregen). Immers, aanvragen vindt geautomatiseerd plaats en certificaten zijn "gratis".