[linux-l] Wie man CAcert.org Zertifikate deinstalliert

[Frank Reker]

Am Tue 07. Jul 2009 00:31 +0200 schrieb Steffen Dettmer:

>Na ja, komplexes Thema, wenn man es richtig machen will. Aber ein
>Punkte-basiertes System, wie in einem noob-Forum, ist meiner
>Meinung nach außerhalb jeglicher Diskussion. Ich muß gestehen,
>ich verstehe nicht einmal, wie man dem überhaupt Wert beimessen
>kann! Das ist meiner Meinung nach etwa so, wie an ein "Web of
>trust" zu glauben. Und auch dort gibt es einige, die tatsächlich
>daran glauben. Vielleicht gibt es auch einige, die an den
>Weihnachtsmann glauben. Wer weiß. Verstehen kann ich all dieses
>jedenfalls nicht.
>
>Wenn etwas behauptet, SICHER zu sein, muß ich es einklagen
>können. Es muß einen harten Vertrag geben und Garantien. Wenn das

das ist gelinde gesagt "voelliger quatsch".
1) sicherheit und einklagbarkeit sind zwei ganz verschiedene
paar stiefel.
2) sicherheit ist kein zustand sondern ein prozess. der staendiger
ueberpruefung und verbesserung bedarf. audits sind _eine_ methode
das zu erreichen, wenn auch nicht die einzige, aber eine in der
praxis bewaehrte.
3) 100%-ige sicherheit gibt es nicht - nirgends! und wird es
auch niemals geben! 
4) sicherheit ist nicht absolut sondern relativ. der grad der
sicherheit die benoetigt wird haengt vom zu schuetzenden objekt
ab.
bei einem lagerraum wo nur altpapier lagert tut's ein vorhaengeschloss,
wenn da teure computer drin sind, will man ne alarmanlage. und lagert
man gold oder diamanten will man wachpersonal.
das selbe gilt auch im computer-bereich.
will ich nur mit freunden mails austauschen ohne dass gleich
jeder mithoeren kann, hab ich andere sicherheitsanforderungen
als wenn ich rechtsverbindliche unterschriften leisten muss.

entsprechend sind auch die anforderungen an die ca. (das von
dir angesprochene web of trust ist eine andere baustelle, mit
seinen vor- und nachteilen, das will ich hier aber jetzt nicht
diskutieren).
will ich mein heimnetz absichern reicht ein selbstzertifiziertes
zertifikat dessen key auf meiner festplatte rumliegt vollkommen
aus. fuer rechtsverbindliche digitale unterschriften sind ganz
andere sicherheiten notwendig.

die hauptanwendung einer ca ala cacert.org duerfte in web-anwendungen
liegen. dort haben selbstsignierte zertifikate den nachteil, das
sie nicht oeffentlich sind, und damit deren vertrauenswuerdigkeit nur
schwer zu ueberpruefen ist.
auch im web gibt es unterschiedliche sicherheitsbeduerfnisse.
ein zugang zum email-account ist sicherlich weniger kritisch als ein
online-banking. aber, und hier liegt der hase im pfeffer begraben,
gibt es keinen vernuenftigen mechanismus zwischen unterschiedlichen
sicherheitsanforderungen und vertrauenswuerdigkeiten zu differenzieren.
deshalb muessen fuer alle im web vorhandenen zertifikate die selben
anforderungen gelten, ehe ich sie in meinem browser akzeptieren kann.

und da faellt cacert.org leider durch. 




-- 
Don't worry be happy ...
Ciao Frank
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: nicht verfügbar
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20090707/ccb9ec0b/attachment.sig>