[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [Admin] Neues SSL-Zertifikat
[Thread Prev] | [Thread Next]
- Subject: Re: [Admin] Neues SSL-Zertifikat
- From: Alexander Holler <holler@xxxxxxxxxxxxx>
- Date: Sun, 04 May 2014 14:28:54 +0200
- To: uugrn@xxxxxxxxxxxxxxx
Am 03.05.2014 12:25, schrieb Raphael Eiselstein: > Leider gibt es IMHO gar keine vertrauenswuerdige CA auf der Welt, die > marktrelevant in den Clients vorkommt. > > Der ganze Mechanismus, wie bei SSL Vertrauen implementiert ist, ist > kaputt, eben weil man auf eine CA angewiesen ist. Und wenn man sich > dann eine aussuchen kann, die zwar nicht vertrauenswuerdig ist aber > funktioniert und billig ist, dann nimmt man eben diese. Da ist noch mehr im Argen Insbesondere, dass jede CA ein Zertifikat fuer jede URL/Domain/Sonstiges erstellen kann. D.h. eine CA in Land x kann ohne Probleme ein Zertifikat fuer URL in Land y erstellen kann und umgekehrt. Also selbst wenn man seiner eigenen CA vertraut, bedeutet das nicht, dass man dadurch sicher ist, weil ein Browser eben allen CAs vertraut. Und durch so Sachen wie diese Gag-Orders muss man davon ausgehen, dass eine CA noch nicht mal Herr ueber ihre eigenen Zertifikat ist und diese auch anderen "Organisationen" zur Verfuegung stehen, welche sich dann ohne Wissen der CA Zertifikate ausstellen kann. Das ist nur durch Pinning behebbar, und damit macht das CA-System keinen Sinn mehr. Gruss, Alexander -- UUGRN e.V. http://www.uugrn.org/ http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/