Max Andre wrote: > Ich glaube hier geht beim Thema Zertifikate eineiges durcheinander! > X.509 kommt hat ZWEI Funktionen. Zum einenen die Authentifizierung, also > um sicherzustellen, dass der Server am anderen Ende der Leitung auch > wirklich der ist, der er vorgibt zu sein. Zum anderen um die Daten auf > ihrer Reise durch die Weiten des Internets zu verschlüsseln, also > sicherzustellen das sie von niemand unberechtigten eingesehen werden können. > > Für den ersten Fall brauche in unbedingt ein Zertifikat, das von einer > CA signiert ist, der man vertrauen kann. Ob das bei den in den Browsern > vorinstallierten root-Zertifikaten immer so der Fall ist, sei mal dahin > gestellt. > > Im zweiten Fall, wenn ich die Daten "nur" verschlüsselt übertragen will, > aber dem vermeintlichen Empfänger blind vertraue, dann kann ist es > eigentlich egal, ob oder von welcher CA das Zertifikat signiert wurde.
Das ganze wird ziemlich offtopic hier, deswegen wird dies meine letzte Nachricht sein. Eigentlich wollte ich nur darauf hinweisen das die Einstellung von dem Ursprünglichen Threadersteller nicht falsch war dem Zertifikat nicht zu vertrauen. Zum Thema verschlüsseln: Was bringt eine verschlüsselung wenn ich nicht weiß ob ich zwischen mir und der gewollten Webseite oder zwischen mir und einem Angreifer verschlüssele ? Richtig, absolut nichts denn die Sicherheit der Daten ist in keinem Fall geährleistet. Es ist sogar noch schlimmer denn die unbedarften Benutzer werden mit Aufforderungen zum ignorieren von solchen Zertifikatsfehlern dazu trainiert solche Warnungen des Browsers zu ignorieren. Solange CaCert nicht in mindestens einer der großen Browserplatformen vertreten ist sollte man zum Schutz des SSL Systems aus diesme Grund auf den Einsatz solcher Zertifikate verzichten. > Ich nutze lieber auch mal ein nicht (oder von CAcert) signiertes > Zertifikat als mein Passwort im Klartext zu übertragen. Es gibt > außreichend unsichere Netzwerke, in denen man sich nicht sicher sein > kann, dass Benutzernamen und Passwörter, die im Klartext vorbei kommen, > nicht mitgesnifft werden (26c3-Netzwerk, Hotel-Wlans, Uninetzwerke, > Schulnutze, usw...) Lasse die Verschlüsselung lieber gleich weg, wenn Du in öffentlichen Netzwerken bei einer reinen verschlüsselung Daten überträgst ohne sicherzustellen, mit wem Du das machst.Du machst Dir selbst nur etwas vor wenn Du meinst das es einen großen Sicherheitsgewinn bringt. > Noch ein Absatz zu CACert. Wieso das CACert Root-Zertifikat in den > Browsern nicht vorinstalliert ist, ist mir ein Rätsel! Thawte hatte auch Es wäre mir ein Rätsel wenn das Zertifikat in den Browsern integriert wäre. Als Zertifikatsstelle muss ich neben dem Ausstellen der Zertifikate (mit Identitätsüberprüfung) z.b. auch sicherstellen das die ausgegeben Zertifikate sicher gelagert werden. Beim SSL System ist die Vertrauenskette mit das wichtigste Element und das ein Browserhersteller nicht jeder möchtegern Zertifikatsagentur blind vertraut solte klar sein. Die Browserhersteller fordern eine externe Sicherheitsüberprüfung der gesamtem Struktur um der Zertifikatsagentur zu vertrauen. CaCert war in 5 Jahrfen dazu nicht in der Lage so ein Audit zu schaffen und das nicht auf Grund von Finanzierungsproblemes des Gutachters sondern weil die Struktur von CaCert nicht den Anforderungen entspricht. Dabei ist nicht das web-of-trust das Problem sondern die Technische und personelle Struktur. > mal ein web-of-trust in dem sich User gegenseitig zertifizieren konnten. > Das hat zu 99,9% exakt so funktioniert wie das Web-of-Trust von Cacert, > nur das die Zertifikate dann von thawte signiert wurden, deren root > Zertifikat in nahzu jedem Browser vorhanden ist. thawte hat den Dienst > dann eingestellt, als sie gemerkt haben, dass sie sich damit selber das > Geschäft kaputt machen! Das Kohle argument ist heutztage in meinen Augen absoluter Schwachsinn denn ein normales Zertifikat bekommt man gratis und das sollte in den meisten Fällen ausreichen. Matthias _______________________________________________ Talk-de mailing list Talk-de@openstreetmap.org http://lists.openstreetmap.org/listinfo/talk-de