Hallo, Am Montag, 21. Dezember 2015, 01:55:56 schrieb Malte Gell:

Am 21.12.2015 um 00:47 schrieb Stephan von Krawczynski:

...

On Mon, 21 Dec 2015 00:09:47 +0100

Malte Gell wrote:

...

Hallo, (...) Ich frag mich, ob OCSP überhaupt ein echter Gewinn ist... Jedenfalls animiert es vielleicht die Leute, sich gescheite Zertifikate zu besorgen.

Sorry wenn ich Dein Weltbild zerstoere, aber das was heutzutage unter "gescheite Zertifikate" laeuft kannst Du alles in die Tonne hauen.

Naja, Kratzer hatte mein Weltbild schon vorher durch die ganzen SSL Geschichten, aber die Stufe völlige Wertlosigkeit hatte ich noch nicht erreicht...

Im Grunde fehlt doch eine vertrauenswürdige CA Struktur. Da war doch mal eine web of trust CA, Name fällt mir gerade nicht ein. Könnte nicht eine relativ vertrauenswürdige Organisation eine CA abgeben? Z.B. die FSF oder ähnlich? Oder man gründet einen gemeinnützigen Verein als CA, Mitglieder werden dann alle, die ein Zertifikat brauchen. Richtlinien in der Vereinssatzung verankert, für alle einsehbar, keine Backdoors.

Wenn keiner was auf die Beine stellt bleibt dann halt noch die brute force Methode, eigenes Zertifikat erstellen, ggf. mit GPG signiert zum Download anbieten und hoffen, dass es sich als allg. sicher akzeptiert etabliert....

Emailanbieter könnten dann vielleicht auch den Fingerabdruck altmodisch per Post zukommen lassen.

An Ideen dürfte es wohl nicht mangeln, wenn selbst mir sowas morgens um 2 einfällt...!?

Wie wärs damit: https://letsencrypt.org/ ?

Gruß Malte

Gruß Markus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Hallo Malte, hallo Leute, Am Montag, 21. Dezember 2015 schrieb Malte Gell:

Am 21.12.2015 um 03:10 schrieb Markus Dellermann:

...

Am Montag, 21. Dezember 2015, 01:55:56 schrieb Malte Gell: ...

...

Im Grunde fehlt doch eine vertrauenswürdige CA Struktur. (...)

Wie wärs damit: https://letsencrypt.org/

"It´s automated", da muss man dann nicht mehr weiterlesen...

Naja, die anderen Zertifikatsanbieter haben auch Automatisierung - und ob jetzt mit einer Mail an webmaster@, root@ etc. [1] oder durch Ausliefern bestimmter Dateien über http validiert wird, macht nicht wirklich einen Unterschied. Im Gegenteil - über http kann keiner [1] ausnutzen. (Bei den teuren EV-Zertifikaten mit einer Extraportion Schlangenöl ;-) gibt es dann wohl noch eine manuelle Prüfung.) Es gibt noch einen zweiten Unterschied - die meisten Zertifizierungsstellen lassen sich ihren "Stempel" teuer bezahlen, letsencrypt.org ist kostenlos. (CACert auch, aber die werden leider nicht von den üblichen Browsern akzeptiert.) Ja, über den Client von letsencrypt.org gibt es geteilte Meinungen, aber AFAIK man kann das Ganze auch ohne Automatisierung über einen klassischen CSR durchziehen. Nervt nur etwas, weil die Zertifikate nur 3 Monate Laufzeit haben ;-)

Vielleicht eine Verbidnung aus web of trust und CA, die beide Welten verbindet, vielleicht wäre das eine Lösung....

CAs sind quasi kaputt (mindestens eine der > 200, denen Dein Browser vertraut, und somit effektiv alle ;-) - nur gibt es leider noch keinen funktionierenden Ersatz. Das web of trust funktioniert bei GPG halbwegs, weil sich Personen gegenseitig überprüfen und das bestätigen können. Ich habe aber noch keinen gesehen, der bei einer Keysigning-Party einen Personalausweis mit Name "meinedomain.de" vorzeigen konnte ;-) - daher ist mir etwas schleierhaft, wie das bei Domains funktionieren soll. AFAIK gibt es Überlegungen, das Ganze via DANE zu machen - das verlagert das Vertrauen von CAs zu DNSSEC und reduziert immerhin die Anzahl der beteiligten CAs. Zudem würde es den CAs das Geschäftsmodell kaputtmachen (für DANE reicht self-signed), was die Chancen dieser Lösung reduzieren könnte ;-)

Man könnte es auch ganz altmodisch machen, wenn ich mich recht erinnere, war in einem Prospekt meiner Sparkasse der Fingerprint deren Zertifikat abgedruckt. Warum soll das ein Emailanbieter nicht auch machen können, oder ebay oder Banken, einfach für ne Briefmarke den Fingerprint nach Hause schicken.

Können ja, nur a) sind das bei ebay oder einem Freemailer ziemlich viele Briefmarken ;-) und b) glaube ich, dass höchstens 5% [2] der Bankkunden den Fingerprint einmal überprüfen und höchstens 0,1% den Fingerprint jedesmal überprüft. Sprich: gute Idee, funktioniert aber dank Faulheit der User nicht ;-) Gruß Christian Boltz [1] Bei manchen Anbietern gibt es eine nette Liste zur Auswahl - und ich wäre nicht überrascht, wenn eine oder zwei dieser Adressen bei manchen Freemailern nicht dem Server-Admin gehören ;-) [2] das ist eine sehr optimistische Schätzung... --

Oh, please, don't do that. I can get used to it..... ;-) [> Will Stephenson and Agustin Benito Bethencourt in opensuse-project]

-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am 21.12.2015 um 09:29 schrieb Stephan von Krawczynski:

On Mon, 21 Dec 2015 01:55:56 +0100 Malte Gell wrote:

...

Im Grunde fehlt doch eine vertrauenswürdige CA Struktur. (...)

Das ist bereits der Fehler im System. Wenn man auf Treu und Glauben setzen muss ist man schon verloren. Das Konstrukt "vertrauenswuerdige Struktur" existiert nicht.

Ganz ohne Vertrauen geht es aber nicht. Wir vertrauen alle in Rijndael/AES und Co und wir vertrauen darauf, dass die openSUSE Binaries keine Backdoors enthalten. openSUSE unterliegt den USA Exportgesetzen, steht in der Lizenz, der du zugestimmt hast. Damit unterliegt openSUSE auch dem US Patriot Act. Und der kann Softwarehersteller zu verschwiegener Kooperation zwingen. Und jetzt?

Denkbar waere meiner Ansicht nach eine im Zertifikat eingebettete URL. Der Ueberpruefer koennte warnen wenn die URL nicht in dieselbe Domain zeigt (also moeglicherweise jemand anders gehoert).

Ähm das ist doch jetzt schon so? Ich hatte schon https Seiten vor den Augen, deren Zertifikat nicht zur URL gepasst haben und Firefox hat gemeckert. Das schützt aber auch nicht vor DNS Manipulationen, dann kann man doch noch beim Mann in der Mitte landen. Müsste man dann nicht auch noch die numerische IP der Adresse in das Zertifikat einbauen? Und wenn du etwas in das Zertifikat einbettest, muss es signiert werden um Manipulation zu erkennen und dann mit welchem Schlüssel? Da schließt sich dann wieder der Kreis. Web of Trust oder was zentrales, ich seh da nix anderes. Man könnte doch web of trust und zentrale CA miteinander verknüpfen. Gruß -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org