Am 21.12.2015 um 09:29 schrieb Stephan von Krawczynski:
On Mon, 21 Dec 2015 01:55:56 +0100 Malte Gell
wrote: Im Grunde fehlt doch eine vertrauenswürdige CA Struktur. (...)
Das ist bereits der Fehler im System. Wenn man auf Treu und Glauben setzen muss ist man schon verloren. Das Konstrukt "vertrauenswuerdige Struktur" existiert nicht.
Ganz ohne Vertrauen geht es aber nicht. Wir vertrauen alle in Rijndael/AES und Co und wir vertrauen darauf, dass die openSUSE Binaries keine Backdoors enthalten. openSUSE unterliegt den USA Exportgesetzen, steht in der Lizenz, der du zugestimmt hast. Damit unterliegt openSUSE auch dem US Patriot Act. Und der kann Softwarehersteller zu verschwiegener Kooperation zwingen. Und jetzt?
Denkbar waere meiner Ansicht nach eine im Zertifikat eingebettete URL. Der Ueberpruefer koennte warnen wenn die URL nicht in dieselbe Domain zeigt (also moeglicherweise jemand anders gehoert).
Ähm das ist doch jetzt schon so? Ich hatte schon https Seiten vor den Augen, deren Zertifikat nicht zur URL gepasst haben und Firefox hat gemeckert. Das schützt aber auch nicht vor DNS Manipulationen, dann kann man doch noch beim Mann in der Mitte landen. Müsste man dann nicht auch noch die numerische IP der Adresse in das Zertifikat einbauen? Und wenn du etwas in das Zertifikat einbettest, muss es signiert werden um Manipulation zu erkennen und dann mit welchem Schlüssel? Da schließt sich dann wieder der Kreis. Web of Trust oder was zentrales, ich seh da nix anderes. Man könnte doch web of trust und zentrale CA miteinander verknüpfen. Gruß -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org