:strip_icc():strip_exif()/u/362285/53.jpg?f=community)
We zien meer en meer dan overheden hun burgers in de gaten houden. In het moto: “het is voor jullie veiligheid.” Ik ben nooit naïef geweest ze zitten in me Gmail ze zitten in me telefoon. Maar toch was SSL eigenlijk toch wel een ‘Holy Grail‘. Al op de markt sinds 1994 en al 20 jaar min of meer nooit gekraakt. Maar ik maak me sinds de uitlatingen van Edward Snowden toch meer en meer zorgen om SSL. Deze zorgen komen voornamelijk door de Certificate Authorities.
Wij vertrouwen Certificate Authorities met het geheim houden van onze private keys en geen certificaten uit te brengen voor sites waar je de eigenaar niet van bent. Dit is niet waar zie GlowMouse comment Maar laten we eens gaan kijken naar de top 5 CA’s
Herkomst Locatie hoofd kantoor
Symantec USA USA
Comodo UK USA
Godaddy USA USA
Globalsign USA USA
Entrust USA USA
De top 5 van CA’s zijn allemaal in USA gevestigd. We weten dat America via geheimen rechtbanken toegang verschaft tot Microsoft/Google/Twitter etc. Wie zegt dat de Amerikanen dit niet doen voor de Certificate Authorities. Zover ik me kan in denken is er niks wat ze weerhoud om dit te doen. Dus ga ik persoonlijk er van uit dat ze het ook doen (Maar die afweging moet je zelf maken.)
Wat zouden ze kunnen als ze toegang hebben tot deze CA’s nou we weten dat een enkele CA elk domein van een certificaat kan voorzien. Echter valt dit relatief snel op verkeerde CA bij een domein hierdoor is het diginotar debacle ook naar buiten gekomen (diginotar cert op iraanse gmail werd gebruikt.)
Maar met toegang tot deze CA’s zou men ook een kopie van het certificaat kunnen krijgen en op die manier zonder dat iemand het merkt onze SSL verbindingen afluisteren. “Als je niks te verbergen hebt dan hoef je ook niet bang te zijn…”
Omdat de private key niet mee gestuurd wordt kan niet exact het zelfde certificaat gebruikt worden. Een clone zou dan gegenereerd moeten worden maar deze is op te sporen en dan zouden de CA's wat uit te leggen hebben.
Daniel Suarez verteld bij TED talk waarom wij een democratie zijn en waarom dat misschien niet zo zal blijven in de toekomst.
Nederlandse ondertiteling aanwezig:
http://www.ted.com/talks/..._t_belong_to_a_robot.html
Ik ben erg benieuwd hoe jullie er tegen aan kijken en of jullie ook mogelijk al een oplossing hebben gevonden.
Wij vertrouwen Certificate Authorities met het geheim houden van onze private keys en geen certificaten uit te brengen voor sites waar je de eigenaar niet van bent. Dit is niet waar zie GlowMouse comment Maar laten we eens gaan kijken naar de top 5 CA’s
Herkomst Locatie hoofd kantoor
Symantec USA USA
Comodo UK USA
Godaddy USA USA
Globalsign USA USA
Entrust USA USA
De top 5 van CA’s zijn allemaal in USA gevestigd. We weten dat America via geheimen rechtbanken toegang verschaft tot Microsoft/Google/Twitter etc. Wie zegt dat de Amerikanen dit niet doen voor de Certificate Authorities. Zover ik me kan in denken is er niks wat ze weerhoud om dit te doen. Dus ga ik persoonlijk er van uit dat ze het ook doen (Maar die afweging moet je zelf maken.)
Wat zouden ze kunnen als ze toegang hebben tot deze CA’s nou we weten dat een enkele CA elk domein van een certificaat kan voorzien. Echter valt dit relatief snel op verkeerde CA bij een domein hierdoor is het diginotar debacle ook naar buiten gekomen (diginotar cert op iraanse gmail werd gebruikt.)
Maar met toegang tot deze CA’s zou men ook een kopie van het certificaat kunnen krijgen en op die manier zonder dat iemand het merkt onze SSL verbindingen afluisteren. “Als je niks te verbergen hebt dan hoef je ook niet bang te zijn…”
Omdat de private key niet mee gestuurd wordt kan niet exact het zelfde certificaat gebruikt worden. Een clone zou dan gegenereerd moeten worden maar deze is op te sporen en dan zouden de CA's wat uit te leggen hebben.
Daniel Suarez verteld bij TED talk waarom wij een democratie zijn en waarom dat misschien niet zo zal blijven in de toekomst.
Nederlandse ondertiteling aanwezig:
http://www.ted.com/talks/..._t_belong_to_a_robot.html
Ik ben erg benieuwd hoe jullie er tegen aan kijken en of jullie ook mogelijk al een oplossing hebben gevonden.
[ Voor 5% gewijzigd door eddie4nl op 22-06-2013 20:44 . Reden: Private keys worden niet naar CA's verstuurd. ]
:strip_exif()/u/70496/glowmouse2.gif?f=community)
Maar ook erg blij dat dit niet daadwerkelijk kan. Zijn er toch nog wegen om dingen te verbergen van bigbrother.
/u/278792/crop566ab31a4dfcd_cropped.png?f=community)