Op grotere schaal, maar dat is dan vooral het domein van "state actors", kan je zelfs bereiken dat je client geen cert moet installeren.ITnetadmin schreef:En die client heeft een trust relation met de CA cert van die firewall. Anders kan het gewoonweg niet.
Gewoon onderscheppen, decrypteren en opnieuw encrypteren met een wildcart van een CA dat in de default trusted base van elke browser zit, et voila, de client heeft niets door. Nu, aan die wildcards raken is natuurlijk de moeilijkheid op zich, maar zoals ik al zei, voor bepaalde state actors die toebehoren aan economieën die wat groter en machtiger zijn dan de onze zal dit wel geen enkel probleem zijn. Ook het kostenplaatje om zoiets op grote schaal te doen en snel genoeg zodat de eindgebruiker niets merkt is niet min. Dat gezegd zijnde: als je de e-ID client installeert dan installeer en trust je meteen ook "Belgium Root CA2" op je toestel (en in sommige distributies zit het zelfs inbegrepen), wat in theorie dit soort zaken ook toelaat.
Deze tactiek is ook weer te vermijden met HPKP maar dat slaat niet echt aan voor het moment.
Soit, de modem-only filter is er altijd al geweest, om te vermijden dat iemand "op userbase gelezen heeft dat dit goed is" en dan de volgende dag aan de TN-helpdesk hangt met een hele reeks issues. Als ze merken dat je weet waar je mee bezig bent, dan wordt de modem-only afaik nog altijd afgeleverd en ik zie in deze thread niet meteen een bewijs van het tegendeel. Ik ben afaik niet de enige hier die de technieker enkel maar een blik moest gunnen op de Cisco (of equivalent) hardware thuis om hem meteen terug naar z'n bestelwagentje te zien gaan achter een modem-only.