CCatalyst schreef:Iedereen kan een gratis DV krijgen bij Let's Encrypt. Zo was er een klein schandaaltje over het feit dat Let's Encrypt zonder morren DV's uitgeeft voor zaken als paypal-admin.com enzomeer.
Eenmaal je dat weet, let je wél op de EV balk.
dat betwijfel ik ten sterkste:
1) het is meermaals voorgevallen dat andere authorities foute certs uitgeven
2) het is eveneens gebeurd dat authorities certs hebben uitgegeven voor VALID domains aan bedriegende partijen
3) "paypal-admin"... dan heb je wel andere fouten gemaakt dan "wel of niet EV certificaat" als je daarin trapt
4) iedereen kan een DV krijgen bij élke authority, dat heeft maar weinig met het al dan niet gratis te maken
5) TS heeft het over gemiddeld gebruik (dus geen multinational met geld teveel) en dan is EV zelfs niet aan de orde
in THEORIE voegt EV "bewijs van identiteit" toe (coolblue heeft overigens een EV cert), maar in praktijk blijkt dat toch amper waarde te hebben.
het enige wat effectief zo is, is dat;
A) ALS de certificate authority niet gehackt is (is al gebeurd) EN
B) er geen mitm dmv valse certs is (is al gebeurd) EN
C) de betreffende site zelf niet gehackt is (is al gebeurd)
je er van kan uitgaan dat de site wel degelijk van het bedrijf is ACHTER de site (wat niet altijd een genaamde relatie met de site heeft).
het wil echter nog steeds niet zeggen dat je gegevens veilig zijn (een EV-validated domein kan nog altijd je paswoord in plaintext opslaan)
je hebt ruwweg 3 soorten mensen:
1) het soort dat weet wat ze aan het doen zijn (en dus op de url en de site letten, inclusief de domeinvalidatie)
2) het soort mensen dat gewoon overal op klikt en denkt "groen, das dus veilig"
3) en dan degene die gewoon niet weten wat ze doen en overal op klikken, inclusief het doorgeven van hun kaartgegevens e.d
en in geen van die 3 gevallen voegt EV iets toe bovenop DV.
(naar de houder van de site, daarentegen, wel: EV komt meestal met verzekeringen e.d. voor de domeinnaamhouder)
.
