Hallo Malte, hallo Leute, Am Montag, 21. Dezember 2015 schrieb Malte Gell:
Am 21.12.2015 um 03:10 schrieb Markus Dellermann:
Am Montag, 21. Dezember 2015, 01:55:56 schrieb Malte Gell: ...
Im Grunde fehlt doch eine vertrauenswürdige CA Struktur. (...)
Wie wärs damit: https://letsencrypt.org/
"It´s automated", da muss man dann nicht mehr weiterlesen...
Naja, die anderen Zertifikatsanbieter haben auch Automatisierung - und ob jetzt mit einer Mail an webmaster@, root@ etc. [1] oder durch Ausliefern bestimmter Dateien über http validiert wird, macht nicht wirklich einen Unterschied. Im Gegenteil - über http kann keiner [1] ausnutzen. (Bei den teuren EV-Zertifikaten mit einer Extraportion Schlangenöl ;-) gibt es dann wohl noch eine manuelle Prüfung.) Es gibt noch einen zweiten Unterschied - die meisten Zertifizierungsstellen lassen sich ihren "Stempel" teuer bezahlen, letsencrypt.org ist kostenlos. (CACert auch, aber die werden leider nicht von den üblichen Browsern akzeptiert.) Ja, über den Client von letsencrypt.org gibt es geteilte Meinungen, aber AFAIK man kann das Ganze auch ohne Automatisierung über einen klassischen CSR durchziehen. Nervt nur etwas, weil die Zertifikate nur 3 Monate Laufzeit haben ;-)
Vielleicht eine Verbidnung aus web of trust und CA, die beide Welten verbindet, vielleicht wäre das eine Lösung....
CAs sind quasi kaputt (mindestens eine der > 200, denen Dein Browser vertraut, und somit effektiv alle ;-) - nur gibt es leider noch keinen funktionierenden Ersatz. Das web of trust funktioniert bei GPG halbwegs, weil sich Personen gegenseitig überprüfen und das bestätigen können. Ich habe aber noch keinen gesehen, der bei einer Keysigning-Party einen Personalausweis mit Name "meinedomain.de" vorzeigen konnte ;-) - daher ist mir etwas schleierhaft, wie das bei Domains funktionieren soll. AFAIK gibt es Überlegungen, das Ganze via DANE zu machen - das verlagert das Vertrauen von CAs zu DNSSEC und reduziert immerhin die Anzahl der beteiligten CAs. Zudem würde es den CAs das Geschäftsmodell kaputtmachen (für DANE reicht self-signed), was die Chancen dieser Lösung reduzieren könnte ;-)
Man könnte es auch ganz altmodisch machen, wenn ich mich recht erinnere, war in einem Prospekt meiner Sparkasse der Fingerprint deren Zertifikat abgedruckt. Warum soll das ein Emailanbieter nicht auch machen können, oder ebay oder Banken, einfach für ne Briefmarke den Fingerprint nach Hause schicken.
Können ja, nur a) sind das bei ebay oder einem Freemailer ziemlich viele Briefmarken ;-) und b) glaube ich, dass höchstens 5% [2] der Bankkunden den Fingerprint einmal überprüfen und höchstens 0,1% den Fingerprint jedesmal überprüft. Sprich: gute Idee, funktioniert aber dank Faulheit der User nicht ;-) Gruß Christian Boltz [1] Bei manchen Anbietern gibt es eine nette Liste zur Auswahl - und ich wäre nicht überrascht, wenn eine oder zwei dieser Adressen bei manchen Freemailern nicht dem Server-Admin gehören ;-) [2] das ist eine sehr optimistische Schätzung... --
Oh, please, don't do that. I can get used to it..... ;-) [> Will Stephenson and Agustin Benito Bethencourt in opensuse-project]
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org