[linux-l] sichere dns
Volker Grabsch
vog at notjusthosting.com
Sa Nov 17 15:57:38 CET 2007
On Sat, Nov 17, 2007 at 12:38:14AM +0100, Steffen Dettmer wrote:
> * Volker Grabsch wrote on Fri, Nov 16, 2007 at 22:14 +0100:
> > Eben, also musst du nicht nur dem Zielsystem gegenüber, sondern auch
> > CaCert gegenüber falsche DNS-Einträge vorgaukeln. Ist nicht ganz so
> > einfach.
>
> Dir ist aber schon bekannt, dass bereits gerichtlich DNS Manipulation
> angeordnet wurden (zur "Sperrung" von Seiten)?
Ja, und? In dem Fall kann man auch gleich die Ausstellung eines
solchen Zitats gerichtlich anordnen, ohne diesen Umweg.
> Ausserdem muss man hier ja gar kein DNS Spoofing machen, wenn man drei
> Leute eingeschleust hat, die Assurer sind.
Was macht das für einen Unterschied? Kann man in CaCert etwa ohne
Nachweis über die entsprechenden Test-Mails an ein Zertifikat heran
kommen? Wäre mir neu.
Aber falls dem so sein sollte, dass man in CaCert die automatische
Domain-Überprüfung umgehen kann, klär mich bitte auf.
> > > Jemand meinte mal, dass CAs sich sowas zweimal ueberlegen wuerden, weil
> > > das ja dem Geschaeft bedeutend Schaden kann.
> >
> > Mag sein, aber welche Wahl hat man, wenn die Staatsgewalt das einem
> > auferlegt?
>
> Es gibt für eine grosse CA viele Möglichkeiten. Kostet natürlich
> Anwälte, aber die kann sich ne grosse CA leisten, insbesondere wenn es
> um die Existenz geht.
Und die großen ISPs können sich das nicht leisten? Wieso wehren die
sich nicht gegen gerichtlich verordnete DNS-Manipulation?
Gruß,
Volker
--
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR
Mehr Informationen über die Mailingliste linux-l