[linux-l] CAcert Brunch am So 13. August 11-14h im Yildiz am Halleschen Tor
Steffen Dettmer
steffen at dett.de
Di Aug 15 22:15:46 CEST 2006
* Volker Grabsch wrote on Mon, Aug 14, 2006 at 16:31 +0200:
> On Mon, Aug 14, 2006 at 03:10:09PM +0200, Pascal Volk wrote:
> > Das ist ja alles schön und gut. Aber was bringt ein Cert das von CA Foo
> > signiert wurde, wenn es die Webbrowser nicht kennen?
> > Doch ungefähr mindestens genau so viel wie ein selfsigned Cert. => Nix.
>
> Nicht ganz. Es ist ein *einheitliches* Zertifikat.
>
> Es ist z.B. sehr praktisch, wenn in unserer Firma all unsere SSL-Seiten
> (notjusthosting.com, dev.njh6.de, ...) vom selben Stammzertifikat
> unterschrieben sind. Hat einer unserer Kunden dieses Stammzertifikat
> (z.B. für das Webmail) bei sich in den Browser geladen, so kann er
> auch die anderen Seiten damit überprüfen.
>
> Kurz: Man[TM] möchte ein *einheitliches* kostenloses Cert nutzen. Und
> für diesen Zweck bietet sich CACert nunmal hervorragend an, selbst wenn
> es kein Root-Cert werden wird.
>
> Allerdings ist natürlich zusätzlich die Hoffnung dabei, *dass* es CACert
> in die Browser schafft.
cacert.org? Wenn die in Browser kommen, bitte unbedingt Bescheid sagen
und Deinstallationsanleitung schreiben!
Meine Gründe dafür, das cacert.org und Vertrauen diskunkte Mengen sind:
- Es gibt mindestens ein Zertifikat, das überhaupt keine Identität
beweist, weil es im Subject/Issued-To einfach mal gar nix
menschenverständliches oder prüfbares enthält
- Anfragen werden nach Monaten unbefriedigend beantwortet.
https://www.selflinux.org ist ein schönes Beispiel. Vermutlich
zertifizert cacert.org hier, dass der im CN genannte Hostname existiert.
Oder vielleicht, dass er DNS-konform aufgebaut ist (keine Sonderzeichen
enthält). Wer weiss.
Ich finde, man sollte nicht auch noch für sowas werben, sondern lieber
aufklären. Es bringt keine Sicherheit, ganz im Gegenteil, es könnten
Leute darauf hineinfallen, weil sie /glauben/, es brächte Sicherheit.
oki,
Steffen
--
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.
Mehr Informationen über die Mailingliste linux-l