en daar is nummer 2 van de CA's. Wie is de volgende?

Ze lopen achter de feiten aan. Ze zijn allemaal gehackt.

Stel je voor dat Verisign ook slachtoffer is, dan breekt de hel echt los.

PKI overheid, kom er maar in!

Als dat zo allemaal doorgaat rijst bij mij de vraag : "Wie vertrouwd het internet nog ?"

@5

heb je het ooit vertrouwd dan?

maar vraag me af hoe makkelijk de certifcaten daadwerkelijk misbruikt kunnen worden.
Stel ik ga Rabo Telebankieren, dan wijst de internet DNS toch altijd naar de enige echte Rabo server?
Maw wat heeft een hacker aan een certificaat van een website als niemand die site bezoekt?

En links in mailtjes aanklikken leert langzaam maar zeker iedereen ook wel af, dus zie niet direct meer risico dan er normaal al is.

Als je niemand vertrouwd, dan heb je geen leven meer.

Let op, ze kappen dat hele bedrijf en beginnen onder een andere naam een nieuw bedrijf.

@6
DNS requests zijn eenvoudig om te leiden naar een andere server.

@6 Er zijn er een aantal die al tig keer hebben geschreven wat je nu dus zelf aangeeft. Eigenlijk kan men er weinig mee. Je zal als hacker bewust toegang moeten hebben tot de DNS server waarbij je de hack kan uitvoeren, omleiden naar een eigen server en vandaar uit doorgaan.

Het blijft een situatie die niet had moeten gebeuren maar zo'n wereld ramp als men er nu van maakt. Het enige wat je nu krijgt zijn een hoop mensen en organisaties die er publiek profiel gezien belang bij hebben om wat te roepen.

Voor een Iran of Syrie gaat het wel ergens om daar zijn overheden vuistdiep in het internet betrokken en dus kunnen zij wel redelijk gemakkelijk bij de benodigde servers komen. En zij hebben ook het geld om een serverpark neer te zetten wat die berichten kan decoderen, analyseren en leesbaar kan maken. Er gaan misschien wel een miljoenen e-mails over Gmail per dag heen in Nederland. Dat kan je thuis pc echt niet aan.

Overigens @1 Comodo was in april al aan de beurt hoorde je hier niet veel van was over de grens. Dit is een NLD bedrijf, politiek ziet elke vorm van internet foutjes als reden om op de spreekstoel te gaan staan en heel interessant 80% van onwetend Nederland voor zich te winnen.

Ik werk niet bij Diginotar voor daar vragen over komen maar het is volkomen belachelijk dat je nu zo'n bedrijf in ene er uit flikkert terwijl Commodo 3e van de wereld wel kon blijven bestaan. Zoek uit wat er mis ging, verander de systemen en bouw extra controle punten in.

Goed. Volgende vraag. Zou IPv6 helpen ?

Man in the middle hoef je toch geen bijzonder toegang voor te krijgen. Alleen waarschuwt je browser niet meer dat er een niet geldige certificaat wordt gebruikt. Die worden als goed en veilig beschouwd want technisch gezien zijn ze ook goed en veilig. alleen nu niet meer.

@11 Dat is wel weer een goede. In de basis zeg ik ja echter als je spreekt over deze vormen van inbraak in systemen vraag ik me af of dat voldoende zal zijn.

@12 Je zal toch moeten zorgen dat de dns server doorverwijst naar in het geval van Gmail bijvoorbeeld een andere server. En aangezien de DSN servers van alle vormen van controle waarschuwingen voorzien zijn wordt dat erg lastig.

Alleen aan het certificaat heb je niks. Kan het ja het kan maar dat is zo onwaarschijnlijk. Alleen in zoals ik eerder zei Iran en dat soort landen waarbij overheden vrij spel hebben binnen het netwerk kan dit wel heel link zijn.

@9

dat denk ik dus niet, dat is het hele vreemde eraan.

Jij en ik kunnen de DNS niet wijzigen voor de rabobank

@9

dat soort DNS records zit sowieso een hoge TTL op, dus een mutatie lukt gewoon niet binnen 1 of 2 dagen, en bij een illegale mutatie is die mutatie al gesignaleerd voordat deze is doorgevoerd.

Feitelijk een stropdas-storm in een glas minister-water
iets met klok en klepel bij Donner-op

is het ook niet, zit 60minuten op

Zal um dan in de authorisatie van de DNS record zitten, zal een stapje hoger zijn dan die van gamma.nl

@9 @15 Voor zover ik weet is de laatste echt succesvolle hack ergens uit 2008 op een dns server en zelfs daar ging het dan ook om slecht beheerde servers. Ik ben het er wel me eens in theorie kan alles maar verschil tussen praktijk en theorie ligt hier echt mijlen ver uit elkaar.

Vraagt blijft gewoon bestaan hoe vang je zo'n gevaar op. Ik zelf denk dan aan een 4 of 5 punts controle waarbij het certificaat niet op 1 netwerk maar op 4 of 5 netwerken moet worden gecontroleerd. Als 1 bedrijf gehackt wordt moeten er minstens op het zelfde moment nog 4 andere gehackt worden wil je een goed certificaat hebben.

Interessante stof hier te lezen... Iran heeft trouwens alleen maar belang om eigen burgers af te 'luisteren' op internet, die hack was gewoon te simpel om te laten liggen

Een DNS-query zoekt op een Windows PC eerst in een lokaal 'host' bestand of de naam omgezet kan worden. Als dat niet lukt, dan gaat hij naar een veilige DNS server. Een virus kan dit bestand voorzien van eigen IP-adressen die verwijzen naar nep-sites. Je kan als virus natuurlijk ook de DNS-server instelling van een PC aanpassen.

Wat natuurlijk ook makkelijk is om een FREE wifi in de lucht te brengen met een eigen DNS server. De scope is minder maar dit heeft helemaal geen hack nodig.

@15
Aanpassen van de hosts file op client systeem is voldoende. Ook kan je bijvoorbeeld de client naar een malafide DNS laten verwijzen.