Toon posts:

SSL certificaat verlengd, geen eigenaar van domein, mag dat?

Pagina: 1
Acties:

Vraag

maandag 1 februari 2016 21:31

Acties:
  • 0 Henk 'm!
  • XhaiKhaL
  • Registratie: Januari 2005
  • Laatst online: 11:03

XhaiKhaL

Topicstarter
Versio heeft een RapidSSL certificaat verlengt van een domein waar ik geen eigenaar meer van ben. Dit is om overduidelijke redenen natuurlijk absoluut onwenselijk en mijns inziens is dit an sich al een slechte zaak maar mijn vraag is eigenlijk mag dit zo maar? Zijn er geen regels die een SSL uitgever verplichten het domein eigendom goed te controleren bijvoorbeeld (en dan in het bijzonder bij een verlenging van een certificaat)?

Uit de documenten op op https://www.rapidssl.com/legal/ kon ik zelf niet echt wat opmaken, maar ik weet ook niet zeker of ik in de juiste documenten keek.

Ik ben benieuwd of iemand hier meer over kan vertellen, ik vind het namelijk best wel een kwalijke zaak, ik denk dan aan kwaadwillenden die zo wel heel makkelijk ongemerkt man in the middle attacks uit kunnen voeren daar waar iedereen verwacht altijd veilig te zijn met een trusted SSL verbinding.

[ Voor 3% gewijzigd door XhaiKhaL op 01-02-2016 21:32 ]

Alle reacties

maandag 1 februari 2016 21:45

Acties:
  • 0 Henk 'm!
  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

Naar mijn weten zijn er geen strenge regels voor domein validatie certificaten, die hoeven bij mijn weten ook niet per se naar een @domein.tld emailadres te hebben (waar de validatie code naar toe gaat) waarvoor het certificaat uitgegeven wordt. Meestal gaat het dan naar het emailadres waarmee het CSR aangemaakt is, wat Versio waarschijnlijk heeft gedaan voor je.

Is het domein intern (binnen Versio) over gedragen of zo?

maandag 1 februari 2016 21:49

Acties:
  • 0 Henk 'm!
  • joppybt
  • Registratie: December 2002
  • Laatst online: 18:25

joppybt

Ik snap het niet: als jij geen eigenaar meer bent van het domein waar maak je je dan druk om? Als iemand anders nu eigenaar is kan die toch het certificaat aangevraagd hebben?

[ Voor 6% gewijzigd door joppybt op 01-02-2016 21:50 ]

maandag 1 februari 2016 21:51

Acties:
  • 0 Henk 'm!
  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

Omdat het certificaat wél gefactureerd is aan TS, wat wellicht ook niet de bedoeling is. Bijvoorbeeld omdat het domein verhuisd is (al dan niet naar andere hoster).

[ Voor 54% gewijzigd door CH4OS op 01-02-2016 21:52 ]

maandag 1 februari 2016 21:56

Acties:
  • 0 Henk 'm!
  • joppybt
  • Registratie: December 2002
  • Laatst online: 18:25

joppybt

CptChaos schreef op maandag 01 februari 2016 @ 21:51:
Omdat het certificaat wél gefactureerd is aan TS, wat wellicht ook niet de bedoeling is. Bijvoorbeeld omdat het domein verhuisd is (al dan niet naar andere hoster).
Waar lees jij iets over facturering?

maandag 1 februari 2016 22:00

Acties:
  • 0 Henk 'm!
  • Gomez12
  • Registratie: Maart 2001
  • Laatst online: 17-10-2023

Gomez12

CptChaos schreef op maandag 01 februari 2016 @ 21:51:
Omdat het certificaat wél gefactureerd is aan TS, wat wellicht ook niet de bedoeling is. Bijvoorbeeld omdat het domein verhuisd is (al dan niet naar andere hoster).
Alleen dan heb je een discussie over de facturering en niet over de verlenging.

En @TS in de realiteit is de controle bij verlenging echt zo goed als niets en praktisch kan die ook niet beter, want de meeste hosters hebben veelal te maken met mensen die pas op de dag zelf (of daarna) erachter komen dat hun certificaat verlopen is en die moeten nu, nu, nu een verlenging hebben.
En aangezien veel partijen meer dan 1 certificaat hebben wensen die niet eerst een heel controletraject in te gaan terwijl de website nu foutmeldingen geeft.

maandag 1 februari 2016 22:10

Acties:
  • 0 Henk 'm!
  • Rukapul
  • Registratie: Februari 2000
  • Nu online

Rukapul

Het beleid van RapidSSL kun je teruglezen in de Certificate Practice Statement. Daar staat onder andere dat voor een renewal hetzelfde van toepassing als voor een nieuw request. Er zijn verschillende opties.

maandag 1 februari 2016 22:11

Acties:
  • 0 Henk 'm!
  • XhaiKhaL
  • Registratie: Januari 2005
  • Laatst online: 11:03

XhaiKhaL

Topicstarter
Het gaat om een automatische verlenging terwijl het domein al verlopen is inderdaad. Dit domein liep inderdaad ook bij Versio, heb ik laten verlopen, en vervolgens is het SSL certificaat verlengd.

Ik maak me ook niet druk om misbruik van dit specifieke certificaat (aangezien deze aan mij is uitgegeven) maar het gaat me meer om de algemene gang van zaken omtrent SSL certificaat uitgiftes. Een eenmalige controle van eigendom geeft blijkbaar het recht op levenslange uitgifte van certificaten voor dat domein? Het gaat er bij mij toch niet helemaal in dat dit de praktijk van SSL certificaat uitgifte mag zijn.

Bij StartSSL zie je bijvoorbeeld wel een controle op domein namen met een geldigheid van 30 dagen (validation). Als je na die 30 dagen een certificaat wilt opvragen of verlengen voor dat domein moet je hem eerst weer even valideren. Dit is helemaal niet een langdurig, lang, controletraject. Gewoon één mailtje naar specifiek @domein.tld email adres is voldoende en het certificaat kan nog steeds binnen minuten uitgegeven worden.
Rukapul schreef op maandag 01 februari 2016 @ 22:10:
Het beleid van RapidSSL kun je teruglezen in de Certificate Practice Statement. Daar staat onder andere dat voor een renewal hetzelfde van toepassing als voor een nieuw request. Er zijn verschillende opties.
Bedankt, ga ik eens even in neuzen.

[ Voor 14% gewijzigd door XhaiKhaL op 01-02-2016 22:18 ]

maandag 1 februari 2016 22:15

Acties:
  • 0 Henk 'm!
  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

Validatie van het domein kan overigens ook met een TXT-record in de DNS, hoeft niet per se een e-mailtje te zijn.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq