Re: [Admin] Neues SSL-Zertifikat

Autor: Alexander Holler <holler_at_ahsoftware.de>
Datum: Sun, 04 May 2014 14:28:54 +0200
Am 03.05.2014 12:25, schrieb Raphael Eiselstein:

> Leider gibt es IMHO gar keine vertrauenswürdige CA auf der Welt, die
> marktrelevant in den Clients vorkommt.
>
> Der ganze Mechanismus, wie bei SSL Vertrauen implementiert ist, ist
> kaputt, eben weil man auf eine CA angewiesen ist. Und wenn man sich
> dann eine aussuchen kann, die zwar nicht vertrauenswürdig ist aber
> funktioniert und billig ist, dann nimmt man eben diese.

Da ist noch mehr im Argen

Insbesondere, daß jede CA ein Zertifikat für jede URL/Domain/Sonstiges 
erstellen kann. D.h. eine CA in Land x kann ohne Probleme ein Zertifikat 
für URL in Land y erstellen kann und umgekehrt.

Also selbst wenn man seiner eigenen CA vertraut, bedeutet das nicht, daß 
man dadurch sicher ist, weil ein Browser eben allen CAs vertraut.

Und durch so Sachen wie diese Gag-Orders muss man davon ausgehen, daß 
eine CA noch nicht mal Herr über ihre eigenen Zertifikat ist und diese 
auch anderen "Organisationen" zur Verfügung stehen, welche sich dann 
ohne Wissen der CA Zertifikate ausstellen kann.

Das ist nur durch Pinning behebbar, und damit macht das CA-System keinen 
Sinn mehr.

Gruß,

Alexander


-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/
Empfangen am 04.05.2014

Dieses Archiv wurde generiert von hypermail 2.2.0 : 04.05.2014 CEST