[linux-l] sichere dns

Fr Nov 16 15:30:42 CET 2007

On Thu, Nov 15, 2007 at 07:45:35PM +0100, Steffen Dettmer wrote:
> Wenn wir schon auf der Ebene von BKA oder höher sind, dann kann man auch
> SSL/TLS nicht automatisch trauen!
> Es reicht ja, wenn man ein Zertifikat *irgendeiner* CA hat, die in der
> trusted.db des Browsers steht. Ein Debian-Benutzer traut z.B. cacert.org
> soweit ich weiss.
> 
> Also muss das BKA (oder wer auch immer) einfach nur ein cacert.org
> Zertifikat für den Zielserver kriegen (z.B., weil mindestens drei BKA
> Leute assurer sind, ist vermutlich bereits der Fall).

... und dem CaCert gegenüber vorgaukeln, man hätte die Domain des
Zielservers unter Kontrolle. Klingt nicht so leicht. CaCert hat da
nette Schutzmechanismen, wie man sie auch von den kommerziellen CAs
kennt.

Nee, in deinem Fall würde das BKA eher zu einem kommerziellen CA
gehen, oder zu *Betreiber* von CaCert, und dort direkt ein signiertes
Zertifikat erzwingen.

Gruß,

    Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR