[linux-l] sichere dns

Volker Grabsch vog at notjusthosting.com
Sa Nov 17 15:57:38 CET 2007


On Sat, Nov 17, 2007 at 12:38:14AM +0100, Steffen Dettmer wrote:
> * Volker Grabsch wrote on Fri, Nov 16, 2007 at 22:14 +0100:
> > Eben, also musst du nicht nur dem Zielsystem gegenüber, sondern auch
> > CaCert gegenüber falsche DNS-Einträge vorgaukeln. Ist nicht ganz so
> > einfach.
> 
> Dir ist aber schon bekannt, dass bereits gerichtlich DNS Manipulation
> angeordnet wurden (zur "Sperrung" von Seiten)?

Ja, und? In dem Fall kann man auch gleich die Ausstellung eines
solchen Zitats gerichtlich anordnen, ohne diesen Umweg.

> Ausserdem muss man hier ja gar kein DNS Spoofing machen, wenn man drei
> Leute eingeschleust hat, die Assurer sind.

Was macht das für einen Unterschied? Kann man in CaCert etwa ohne
Nachweis über die entsprechenden Test-Mails an ein Zertifikat heran
kommen? Wäre mir neu.

Aber falls dem so sein sollte, dass man in CaCert die automatische
Domain-Überprüfung umgehen kann, klär mich bitte auf.

> > > Jemand meinte mal, dass CAs sich sowas zweimal ueberlegen wuerden, weil
> > > das ja dem Geschaeft bedeutend Schaden kann.
> > 
> > Mag sein, aber welche Wahl hat man, wenn die Staatsgewalt das einem
> > auferlegt? 
> 
> Es gibt für eine grosse CA viele Möglichkeiten. Kostet natürlich
> Anwälte, aber die kann sich ne grosse CA leisten, insbesondere wenn es
> um die Existenz geht.

Und die großen ISPs können sich das nicht leisten? Wieso wehren die
sich nicht gegen gerichtlich verordnete DNS-Manipulation?


Gruß,

    Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR



Mehr Informationen über die Mailingliste linux-l