| |
 |
| Kostenlose SSL-Zertifikate und ihr Nutzen |
|
|
Veröffentlicht durch tuxedo am Donnerstag 24. Februar 2005, 16:36
Aus der Zweischneidiges-Schwert Abteilung
|
|
|
|
|
Sowohl Slashdot als auch Heise haben anscheinend unabhängig voneinander recht unterschiedliche Artikel zu kostenlosen SSL-Zertifikaten und deren Sinn und Zweck. Während der Slashdot-Artikel mehr oder weniger ein Link auf einen Artikel bei Linuxlookup (momentan slashdotted) ist, äussert sich Heise eher kritisch gegenüber den Angeboten. Die Anbieter von kostenlosen SSL-Zertifikaten führen vor allem die hohen Preise der Certificate Authorities als Begründung für ihr Angebot an. Firmen vie Verisign machen damit Millionen-Umsätze. Der israelische Linux-Startup StartCom hat deshalb eine eigene Zertifizierungsstelle eröffnet. Auch der CCC betreibt schon seit längerer Zeit die CCC-CA und die Non-Profit-Organisation CAcert betreibt ebenfalls schon seit geraumer Zeit ein solches Angebot.
|
|
|
|
< Allofmp3 unter Druck? | Druckausgabe | Galaxie ohne Sterne? > | |
|
|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
|
|
|
|
|
ein nicht kommerzielles unternehmen waere nur vertrauenswuerdiger wenn gruendlichere checks gemacht wuerden bez. der vertrauenswuerdigkeit des antragsstellers. soweit ich weiss, wird aber gar nichts ueberprueft. natuerlich glaube ich auch nicht wirklich, dass die checks die z.b. verisign macht sehr gruendlich sind.
schlussendlich untersuchen wohl die wenigstens ein certificate, ausser vielleicht bei einem popup auf der banking seite. meistens werden auch popups weggeklickt, und wer importiert schon gerne eine 'unbekannte' CA. daher mache ich meine certs weiterhin selber ;)
|
|
|
|
|
|
|
|
|
|
|
|
|
... agieren beide mit einem "Web of Trust" System,
nur daß CAcert zusätzlich auch SSL-Zertifikate
signiert, aber nur, wenn man admin@ oder root@
oder postmaster@ oder hostmaster@ der Domain (oder
einer Elterndomain) ist, für die das Zertifikat
gilt.
Davon, daß diese Australier irgendwie komisch sind,
abgesehen fand ich den Dienst eigentlich recht gut
und bedingt empfehlenswert. (Ich mache btw auch
WOT-Notary, u.a. auf der FOSDEM, aber nur bei
CAcert.)
Ultimativ trauen kann man CAs ohnehin nicht, aber
das hat andere Gründe. Was ich jedoch gerne sehen
würde wäre eine bessere Policy, kürzere Gültig-
keiten der Root-Zertifikate (das jeweils nächste
kann man ja mit dem letzten unterschrieben wo
ablegen), daß deren Key nicht auf einem mit dem
Netz verbundenen Server liegt und daß die sich in
Europa mal blicken lassen (zB auf dem LinuxTag).
Ich bin BSDler, ich darf das!
06.03.2005 00:24 UTC
#1 der Hall of Fame:
2⁷ Kommentare
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Friday 25. February 2005, 08:15 MEW (#3)
|
|
|
|
|
An der "Policy" arbeitet CAcert - schliesslich wollen die Leute in die Browser rein... und da braucht es sowas in einer ausführlichen Version.
Den Sinn von einer kurzen Gültigkeitsdauer kann ich nicht nachvollziehen...
Der Key ist bei CAcert nur sehr sehr bedingt "per Netz erreichbar", siehe http://www.cacert.org/help.php?id=7
Sobald CAcert offiziellen Browser Support hat, ist es eine FREIE und KOSTENLOSE Möglichkeit Verschlüsselung (Grundrecht?) zu erhalten - okay, man kann auch ein eigenes cert machen... aber irgendwie nicht wircklich das Wahre...
|
|
|
|
|
|
|
|
|
|
|
|
|
Danke fr die zusätzliche Information.
Das mit der kürzeren Gültigkeitsdauer würde sich
bei Verwendung von Sub-CAs zum Signieren auch in
Luft aufheben.
Ich bin BSDler, ich darf das!
06.03.2005 00:24 UTC
#1 der Hall of Fame:
2⁷ Kommentare
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Es gibt viele Website (und Mailserver) Betreiber, die wollen mit Krypto genau eines machen: Passwortsniffern die Pakete unlesbar machen. Und damit unerwuenschte Logins und Rechnergebrauch durch Fremde loswerden.
Und sie wollen dafuer *nicht* dem User tonnenweise erschreckende Warndialoge (die er eh nicht versteht und sich nur nervt und sie wegklickt) an den Kopf werfen. Und ja, dass ist IMHO nix anderes als ein Broser Fehldesign Problem umschiffen, mit was fuer Mitteln man halt eben finden kann. Nur eine *einzige* simple Dialogbox "unbekannter Server, wollen sie weitermachen?" wie bei ssh wuerd niemand aergern).
Einzige Anforderung an eine CA fuer diese Leute ist: Ein von Browsern automatisch akzeptiertes Zertifikat mit moeglichst wenig Aufwand und Kosten zu bekommen. Und sie haben keinerlei Interesse an irgendwelchen mit amtlichen Ausweis nachgewiesenen oder nachweisbaren Identitaeten.
Denn man in the middle Attachen sind weitaus schwieriger als einfach Sniffen. Und sie werden spaetestens beim naechsten Besuch eh gemerkt, weil echte ID der Site nicht mehr die selbige falsche wie vorhin ist. Und der Angriff faellt schnell auf, weil Leute die schon vor der Attacke regelmaessig besuchten schreien wenn sie die falsche ID zu sehen bekommen.
Wer weitere Einsichten zu dieser Art "simpler" Kryptographie will, soll das "erstmals ID registrieren, mit einer einzigen Frage" Verfahren von ssh anschauen. Das ist genau wegen derartiger "realistischer" Policy nicht umsonst das erste weit verbreitete Krypto System geworden.
SSL wurde dagegen wie PGP/gpg von Paranoikern erfunden, ueberdimensioniert vom Standpunkt der meisten normalen User, und damit unpraktisch. Und ja, ich mach meine Mails ohne SSL, ueber ssh Tunnel, eben weil simpler. ssh-keygen, kopieren, tut. Alles andere ist zuviel Aufwand.
--
hardware runs the world, software controls the hardware,
code generates the software, have you coded today
|
|
|
|
|
|
