Phishing über Google Suche

[zahni 554]

vor 2 Stunden schrieb cj_berlin:

Welchen Status haben sie denn gehabt? Es ging doch immer nur darum, dass die CA anhand von Dokumenten die tatsächliche Existenz des Antragstellers verifiziert. Ob er mit der angebotenen Website etwas Gutes bezweckt, könnte und würde die CA nicht prüfen.

Wir haben irgendwann mal ein EV-Zertifikat bestellt. Du glaubst nicht, was der Anbieter da alles geprüft hat, inkl. Telefonanruf beim Vorstand & Co. Das "Grün" ist hier berechtigt, da die Eigentümerschaft der Domain wirklich ausführlich geprüft wurde. Die Daten, die zu Fa. im Zertifikat stehen, stimmen. Ich behaupte weiterhin, dass Zertifikate von Letsencrypt diesen Teil einen Bärendienst erweist, wenn man nur eine Mailadresse prüft. Eigentlich können die das ja auch noch weglassen.

 

BTW: Wir haben jetzt eine MPKI von D-Trust (z.Z. Mail-Signatur und Verschlüsselung). Die Verifizierung bei Denen war auch sehr anstrengend... 

bearbeitet 11. August 2023 von zahni

[NilsK 2.957]

Moin,

 

Domain-validated-Zertifikate gab es aber "schon immer", auch lange vor Letsencrypt. Da haben die nichts dran kaputt gemacht.* Und dass sie ausdrücklich keine EV-Zertifikate ausstellen, ist ja Teil des Deals. Da würde man den Vorwurf an die falsche Stelle richten.

 

Abgesehen von dem grundsätzlich kaputten Zertifikatsansatz ist hier die "Schuld" eher bei den Browserherstellern, die nur die Eigenschaft "transportverschlüsselt" sichtbar machen.

 

Gruß, Nils

* Dass sie "nur eine Mailadresse" prüfen würden, ist ja sachlich auch nicht richtig.

[cj_berlin 1.329]

Ich muss nichts glauben, ich habe es oft genug mit Kunden durchexerziert. Die Prämisse bleibt aber: Ich kann eine "gute" Firma haben, die Böses tut. Und warum sollte eine Ähnlichkeit des Domain-Namen zu jemand anderen ein Hinderungsgrund sein? Das ginge in Richtung Generalverdacht, was unsere Interpretation des Rechtsstaates ja zumindest formal nicht praktiziert.