[linux-l] Wie man CAcert.org Zertifikate deinstalliert

Volker Grabsch vog at notjusthosting.com
Di Jul 7 22:52:56 CEST 2009 

Steffen Dettmer <steffen at dett.de> schrieb:
> Essentiell ist meiner Meinung nach, die Prüfbarkeit. Es muß
> (transaktionsicher) nachvollziehbar sein. Man muß genau wissen
> können, wer wann was gemacht hat. Wenn jemand Mist gemacht hat,
> muß man an denjenigen rankommen können,
> [...]
> Dazu müssen aber bestimmte formale Sachen erfüllt sein.
> Beispielsweise müßte ein Assurer überhaupt erstmal `versprechen',
> sich an irgendwelche Regeln zu halten.

Natürlich muss man als Assurer eine entsprechende Erklärung
unterschreiben. Die Leute hinter CAcert sind doch nicht
auf den Kopf gefallen!

> Im web sieht es aber ganz anders aus!
> Da schickt man den Kiddies irgendwas, erwähnt vielleicht noch,
> dass ja schon 33 Freunde `mit am Schlüssel sind', und schwups,
> ist ne 34 Signatur da.

Solche "Kids" werden nicht zu Assurern. Es gibt Mindestalter,
Mindestwissen und zu unterschreibende Bedingungen, bis man

> Und ja, es ist wirklich so einfach. Die Leute da draußen SIND SO!

_Du_ monierst die Unwissenheit anderer? ;-)

> Schön ist auch der Satz:
> 
>   `To meet the increased demands on quality assurance due to the
>   CAcert Systems Audit' ...
> 
> ... da baut man nachträglich ein `Assurer Challenge' ein.

Ja, das eine Art Weiterbildung. Damit man als Assurer besser
bescheid weiß, und eben nicht ins Messer läuft.

> Es kann doch für bereits ausgestellte Zertifikate
> logischerweise nicht gelten! Die Assurer konnten es ja nichtmal
> gewußt haben, bevor diese `demands increased'! Und wenn, dann
> hätte man es ja wohl gleich vernünftig gemacht, oder?

Wer im Nachhinein Zweifel an seinen Assurances hat, der
hat bei CAcert die entsprechenden Mittel, seinen Fehler zu
korrigieren.

Wer die Seriosität eines anderen Assurers anzweifelt, hat
ebenfalls einfache Mittel, dies CAcer mitzuteilen und ein
entsprechendes Verfahren wird eingeleitet.

> Wie kann man denn auf die Idee kommen, die Sicherheit und
> Qualität da nachträglich einbauen zu wollen?
> 
> Wie kann man denn auf die Idee kommen, jemandem zu vertrauen, der
> allen Ernstes nach vorhat, angebliche Sicherheit und Qualität
> nachträglich einbauen zu wollen?

Die wesentlichen Mechanismen waren schon vorher vorhanden.
Sie wurden lediglich verbessert.

> Daher finde ich Schade, dass Mozilla am Ende vielleicht
> tatsächlich das CAcert.org rootcert in die Standarddistribution
> aufnimmt, denn die müßten doch auch wissen, dass man Sicherheit
> nicht nachträglich einbauen kann.

Mozilla stellt hohe Anforderungen an CAcert. CAcert wird
diesen Anforderungen inzwischen _fast_ gerecht.

> Dabei konfigurierte er seinen Browser auf `amtliche Anweisung'
> so, dass dieses Zertifkat für immer akzeptiert würde.

Das ist doch eine völlig andere Baustelle. Wenn die User jedes
Zertifikat akzeptieren, dann ist es egal, ob Verisign, CAcert
oder selbstsigniert. :-)

Bei Otto-Normal-Benutzern Inkompetenz zu beobachten, das ist
nicht schwer. Auch bei Behörden findet man das leider öfters.

Aber daraus Rückschlüsse auf Organisationen wie Mozilla und
CAcert zu ziehen, die sich tagtäglich damit intensiv beschäftigen,
das erscheint mir doch etwas weit hergeholt.


Gruß,

    Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR

Mehr Informationen über die Mailingliste linux-l