Debian will no longer ship cacert.org certificates

Neuigkeiten rund um GNU/Linux
nudgegoonies
Beiträge: 939
Registriert: 16.02.2009 09:35:10

Debian will no longer ship cacert.org certificates

Beitrag von nudgegoonies » 19.03.2014 10:02:19

Ich war mal bei so einer Veranstaltung, habe auch einen Account, aber bin in dieses Web of Trust nicht wirklich eingestiegen. Beim Vortrag damals ging es darum, wie man in die Browser bzw. Betriebssysteme kommt. Und jetzt schmeißen sie die cacert.org ca zumindest in SID raus. Weiß da jemand näheres?
Soft: Bullseye AMD64, MATE Desktop. Repo's: Backports, kein Proposed, eigene Backports. Grafik: Radeon R7 360 MESA.
Hardware: Thinkstation S20, Intel X58, 16GB, Xeon W3530, BCM5755 NIC, EMU10K1 SND, SATA SSD+HDS und DVD+RW.

Benutzeravatar
catdog2
Beiträge: 5352
Registriert: 24.06.2006 16:50:03
Lizenz eigener Beiträge: MIT Lizenz

Re: Debian will no longer ship cacert.org certificates

Beitrag von catdog2 » 19.03.2014 10:41:37

https://bugs.debian.org/cgi-bin/bugrepo ... bug=718434
CAcert, Idee gut, Umsetzung an vielen Stellen naja.
Unix is user-friendly; it's just picky about who its friends are.

nudgegoonies
Beiträge: 939
Registriert: 16.02.2009 09:35:10

Re: Debian will no longer ship cacert.org certificates

Beitrag von nudgegoonies » 19.03.2014 11:50:16

Mein erster Eindruck war, dass da unglaublich viel Engagement dahinter steckt. Aber wohl auch viele Glaubenskriege. Ich erinnere mich noch an das Passwort setzen für cacert, wo die Regeln dafür mich in den Wahnsinn getrieben haben. Das ist das einzigste Passwort was ich wirklich in eine Datei packen musste. Ein reines copy/paste Passwort.

Eine Notiz am Rande. In dem von Dir verlinkten Bugreport schrieb auch jemand, dass die Art der Warnung bei Browsern bei selbst signierten Zertifikaten zu brachial ist. Wem traut man mehr, der CA oder dem, der sich sein Zertifikat selbst ausstellt. Naja :?
Soft: Bullseye AMD64, MATE Desktop. Repo's: Backports, kein Proposed, eigene Backports. Grafik: Radeon R7 360 MESA.
Hardware: Thinkstation S20, Intel X58, 16GB, Xeon W3530, BCM5755 NIC, EMU10K1 SND, SATA SSD+HDS und DVD+RW.

Benutzeravatar
novalix
Beiträge: 1908
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: Debian will no longer ship cacert.org certificates

Beitrag von novalix » 19.03.2014 11:58:32

catdog2 hat geschrieben: CAcert, Idee gut, Umsetzung an vielen Stellen naja.
Wobei man sagen muss, dass man bei CAcert immerhin dieses "naja" feststellen und ggf. verbessern kann.
Das "naja" der "vertrauenswürdigen" CAs kennen wir nicht. Doof und nicht gerade vertrauenserweckend.
Ich persönlich vertraue am meisten den Zertifikaten, die ich selbst erzeugt und unterschrieben habe. 100% gebe ich denen aber auch nicht. So richtig in Erklärungsnöte komme ich dann, wenn ich anderen versichern soll, dass sie meinen Zertifikaten trauen sollen. Technisch ist das nicht zu begründen. Die gleichen Leute vertrauen aber den Zertifikaten von Diginotar & Co. Das ist technisch ebensowenig begründbar.
Der institutionelle Schnick-Schnack mit dem deren Vertrauenswürdigkeit begründet wird, ist eine sehr, sehr zweifelhafte Grundlage für Vertrauen.
Kontrolle wäre wahrscheinlich besser. Die haben aber andere (Mafia, Geheimdienste, Corporate und so).

Groetjes, niels
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

Benutzeravatar
catdog2
Beiträge: 5352
Registriert: 24.06.2006 16:50:03
Lizenz eigener Beiträge: MIT Lizenz

Re: Debian will no longer ship cacert.org certificates

Beitrag von catdog2 » 19.03.2014 12:03:35

Das "naja" der "vertrauenswürdigen" CAs kennen wir nicht. Doof und nicht gerade vertrauenserweckend.
Nicht, dass die kommerziellen besser wären… Das ganze System mit den CAs ist eh fragwürdig so wie es ist.
Mein erster Eindruck war, dass da unglaublich viel Engagement dahinter steckt.
Das viele Engagement hat leider über die Jahre zu kaum was praktisch verwendbaren geführt. Gut möglich, dass sie sich da alle gegenseitig ihm Weg stehen.
Unix is user-friendly; it's just picky about who its friends are.

Benutzeravatar
schorsch_76
Beiträge: 2535
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Debian will no longer ship cacert.org certificates

Beitrag von schorsch_76 » 19.03.2014 12:34:33

Ich persönlich traue den Leuten meist mehr, wenn sie ihr persönliches Zertifikat ausstellen, als wenn sie eines einer großen CA das Zertifikat beziehen. Wahrscheinlich ein bischen zu paranoid .... oder auch nicht???

uname
Beiträge: 12041
Registriert: 03.06.2008 09:33:02

Re: Debian will no longer ship cacert.org certificates

Beitrag von uname » 19.03.2014 12:49:08

Bei https://www.ssllabs.com/ssltest/ gibt es für das Debianforum-Zertifikat erwartungsgemäß nur ein "F". Ich halte diese ganzen CAs auch für wenig sinnvoll.

Besser wäre es, wenn der Betreiber der Webseite unabhängig von irgendeiner vermeintlich vertraunswürdigen Stelle den SHA1/MD5-Fingerprint seines Zertifikats dem Anwender selbst bereitstellt. Leider wird das selbst für das Debianforum scheinbar nicht umgesetzt.

Ich denke den SHA1/MD5-Fingerprint auf weitere Server zu veröffentlichen wäre sinnvoll, worauf natürlich ein möglicher Angreifer über normale Servermechanismen des Ursprungsserver kein Zugriff haben dürfte.
Würde man zudem die Server-Administration von der DNS-Administration trennen, könnte man z.B. einen CNAME 7f4c5e6c7997ad5392ffc4ea02b3ff3ddfcde438.debianforum.de auf debianforum.de definieren. Dann könnten vielleicht Browser durch einfache Namesauflösungen <sha1sum>.ssldomain.tld testen ob die SSL-Zertifikate auch valide sind. Wäre aber wahrscheinlich alles viel zu einfach und dezentrale Organisationsstrukturen vor allem im Bereich Sicherheit sind ja aufgrund der NSA wahrscheinlich gar nicht gewünscht. Aber vielleicht ist DNS dazu auch nicht wirklich geeignet und es gibt bessere Möglichkeiten.

inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: Debian will no longer ship cacert.org certificates

Beitrag von inne » 19.03.2014 18:52:57

In dem [...] verlinkten Bugreport schrieb auch jemand, dass die Art der Warnung bei Browsern bei selbst signierten Zertifikaten zu brachial ist. Wem traut man mehr, der CA oder dem, der sich sein Zertifikat selbst ausstellt.
Kommt die Meldung nicht deswegen so brachial daher, wegen der Art wie das Zertifikat eingespielt wird? Das Zertifikat ist ja zunächst als vertrauenswürding anzusehen.

Wenn nun keine Zertifikate mit Debian ausgeliefert werden, wie impotiert man die korrekt? Wird ein Zertifikat über den Browser eingespielt, findet ja keine Prüfung statt, ob es das richtige ist...
Greift hier die Prüfung via dem SSL Observatory von HTTPS-Everywhere? Ist die Funktion aktiviert, überprüft das Add-on beim Aufruf einer Webseite das SSL-Zertifikat mit einer auf dem EFF-Server bereitgestellten Liste. Aber diese Liste umfasst auch keine Zertifikate die dort nicht veröffentlicht sind. Und wie manipulierbar ist die Überprüfung?

nudgegoonies
Beiträge: 939
Registriert: 16.02.2009 09:35:10

Re: Debian will no longer ship cacert.org certificates

Beitrag von nudgegoonies » 20.03.2014 08:47:45

inne hat geschrieben:Wenn nun keine Zertifikate mit Debian ausgeliefert werden, wie impotiert man die korrekt?
Zufälligerweise habe ich mich mit so einer Problematik in letzter Zeit leider intensiv auseinandersetzen müssen wegen der Umstellung eines firmeninternen Dienstes auf HTTPS. Der korrekte Weg ist wohl ein Debian Paket zu verteilen, in dem das Zertifikat der internen CA in /usr/share/ca-certificates mit der Endung crt vorliegt. Dann ganz wichtig, "dpkg-reconfigure ca-certificates" durchlaufen lassen und der neuen CA vertrauen. Danach schluckt fast alles in Debian vom OpenJDK JRE über Curl bis Lynx die Zertifikate der neuen Server, die man bei der CA beantragt hat. Natürlich bis auf die Browser, die ihr eigenes Süppchen kochen, und debianfremden Paketen, wie zum Beispiel das Oracle JRE :facepalm:
Soft: Bullseye AMD64, MATE Desktop. Repo's: Backports, kein Proposed, eigene Backports. Grafik: Radeon R7 360 MESA.
Hardware: Thinkstation S20, Intel X58, 16GB, Xeon W3530, BCM5755 NIC, EMU10K1 SND, SATA SSD+HDS und DVD+RW.

Benutzeravatar
schorsch_76
Beiträge: 2535
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Debian will no longer ship cacert.org certificates

Beitrag von schorsch_76 » 20.03.2014 15:40:21

Du must kein eigenes Packet erstellen, du kannst es auch einfach /usr/local/ca-certificates/ packen (*.crt) und update-certificates ausführen.

nudgegoonies
Beiträge: 939
Registriert: 16.02.2009 09:35:10

Re: Debian will no longer ship cacert.org certificates

Beitrag von nudgegoonies » 21.03.2014 08:17:41

Das Paket gab es schon, sorry wenn das falsch rüberkam. Den Spaß hatte ich mit Oracle-Java, was sich nicht für die von Debian verwalteten Keys interessiert hat. Macht update-ca-certificates eigentlich das selbe wie dpkg-reconfigure?
Soft: Bullseye AMD64, MATE Desktop. Repo's: Backports, kein Proposed, eigene Backports. Grafik: Radeon R7 360 MESA.
Hardware: Thinkstation S20, Intel X58, 16GB, Xeon W3530, BCM5755 NIC, EMU10K1 SND, SATA SSD+HDS und DVD+RW.

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Debian will no longer ship cacert.org certificates

Beitrag von rendegast » 21.03.2014 08:34:11

nudgegoonies hat geschrieben: Macht update-ca-certificates eigentlich das selbe wie dpkg-reconfigure?
Nein, dpkg-reconfigure wird wohl

Code: Alles auswählen

/var/lib/dpkg/info/ca-certificates.postinst configure
(Darin wird auch update-ca-certificates aufgerufen.)

oder
/var/lib/dpkg/info/ca-certificates.config [re]configure
(Das *.postinst wird im Fall eines vorhandenen *.config nur während der Installation aufgerufen?)
<-> /usr/sbin/update-ca-certificates
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

artemis
Beiträge: 447
Registriert: 21.12.2005 23:11:11

Re: Debian will no longer ship cacert.org certificates

Beitrag von artemis » 22.03.2014 11:01:17

Hallo.

ich komme seit neustem mit Chromium unter Debian SID nicht mehr auf die Debianforum Seite. Das Zertifikat ist nicht "vertrauenswürdig". Ich habe auch keine Möglichkeit gefunden, die Meldung zu umgehen :-( Also bleibt mir im Moment nur Iceweasel...

Das nur zur Info.

EDIT: Nach löschen des Caches bekomme ich jetzt doch die Seite mit "Trotzdem fortfahren"...

Bis dann,
artemis

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Debian will no longer ship cacert.org certificates

Beitrag von dufty2 » 22.03.2014 13:43:33

nudgegoonies hat geschrieben:Ich erinnere mich noch an das Passwort setzen für cacert, wo die Regeln dafür mich in den Wahnsinn getrieben haben. Das ist das einzigste Passwort was ich wirklich in eine Datei packen musste. Ein reines copy/paste Passwort.
Außer dem Login-pw und dem des Passwortsafe kenne ich kein einziges meiner PW.
Werden alle generiert (mit 20+ Zeichen) und per CTRL-C/-V verwendet.
Selbst unter Androhung von Waffengewalt könnt' ich nicht sagen, wie sie aussehen geschweige denn merken ...

mase76
Beiträge: 1353
Registriert: 19.06.2004 08:57:32

Re: Debian will no longer ship cacert.org certificates

Beitrag von mase76 » 27.03.2014 15:36:26

Ich finde es nicht in Ordnung, dass das Rootzertifikat aus Debian rausgeflogen ist.
Zumindest sollte im Configdialog nachgefragt werden, ob man der CA vertraut.
Wir sollten froh sein, dass es sowas wie CaCert.org gibt. Ob man die Vorgehensweise
gut heisst, oder nicht, darüber lässt sich streiten. Sollte jeder selber entscheiden.
Nur das ganze aus Debian rauszuschmeissen, ist meiner Meinung nach, ein Tritt ins
Gesicht der CaCert.org Community.
Und das Argument, dass Mozilla denen nicht traut, ist für mich wenig wert. Wieviele
kommerzielle CAs haben in der Vergangenheit ihr Rootzertifikat verloren? Und denen
soll ich dann mehr trauen? Und die Jahresbeiträge sind auch utopisch.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Debian will no longer ship cacert.org certificates

Beitrag von wanne » 27.03.2014 17:36:00

Ich fasse zusammen: Fast allen großen kommerziellen CAs stellten in der Vergangenheit falsche Zertifikate aus. Deswegen schmeißen wir die einzige nicht kommerzielle aus den Quellen. Klingt logisch.
rot: Moderator wanne spricht, default: User wanne spricht.

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Debian will no longer ship cacert.org certificates

Beitrag von dufty2 » 27.03.2014 19:46:02

mase76 hat geschrieben:Wieviele kommerzielle CAs haben in der Vergangenheit ihr Rootzertifikat verloren?
Oh, die kannst Du sicher alle aufzählen, wenn man wanne glaubt, es möge die Mehrzahl sein ...
mase76 hat geschrieben:Und die Jahresbeiträge sind auch utopisch.
Aha, es geht Euch weniger um Sicherheit, viel mehr darum, dass jene nicht viel kosten darf, am besten gar nix ...

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Debian will no longer ship cacert.org certificates

Beitrag von wanne » 28.03.2014 01:33:33

dufty2 hat geschrieben:
mase76 hat geschrieben:Wieviele kommerzielle CAs haben in der Vergangenheit ihr Rootzertifikat verloren?
Oh, die kannst Du sicher alle aufzählen, wenn man wanne glaubt, es möge die Mehrzahl sein ....
Naja, dass das Rootzertifikat verloren gegeangen ist, ist scher nachzuweisen. Aber wenn plötzlich leute für Seiten Zertifikate haben, die nich ihnen gehören würde ich der ausstellenden CA damit die Vertrauenswürdigkeit absprechen.
Der wohl berühmteste Fall: DigiNotar: http://www.heise.de/security/meldung/CA ... 34098.html
Die mutter aller CAs: VeriSign: http://support.microsoft.com/kb/293817/de
DigiCert Sdn. Bhd stellt absichtlich schwache Zertifikate aus: http://www.entrust.com/512-bit-certific ... -the-wild/
Comodo Group Inc. verkauft wohl an den Meisbietenden statt an den Eigentümer: https://www.schneier.com/blog/archives/ ... up_is.html
Ansonsten würden mir auf anhieb 2 Leute einfallen, die Im namen der deutschen Telekom zertifizieren ohne weitere Kontrollen dürfen. Auch wenn mit nicht bekannt ist, dass die das misbrauchen: Vertrauenswürdig finde ich das nicht. CACert wird dafür kritisiert dass in der Vergangenheit in ausnahmenfällen genau das passieren konnte. Bei der Telekom ist das schlicht der Regelfall. Hatten wir da nicht schon irgend welche Zwangsproxys, die SSL der Telekom gemacht haben?
...
dufty2 hat geschrieben:Aha, es geht Euch weniger um Sicherheit, viel mehr darum, dass jene nicht viel kosten darf, am besten gar nix ...
Kostenlse Certs gibts auch woandrs z.B da https://www.startssl.com/ Kann ich allen empfehlen, die keinen Ärger mit Warnmeldungen haben wollen. Aber darum geht es mir nicht. Im Prinzip finde ich die Certifikate sogar zu billig kann mir keiner erzählen, dass er für 3,50€ vernünftig weltweit Identitäten überprüfen kann. Das einzige was mich stört ist, dass da absichtlich schlechte Crypto (Abietergeneriere Certs, 1024Bit RSA...) verkaufen um für bessere mehr Geld zu verkaufen. – Obwohl die Mehrkosten für den Anbieter für ein gutes Zertifikat wohl deutlich unter einem Cent liegen dürften.
uname hat geschrieben:Ich denke den SHA1/MD5-Fingerprint auf weitere Server zu veröffentlichen wäre sinnvoll, worauf natürlich ein möglicher Angreifer über normale Servermechanismen des Ursprungsserver kein Zugriff haben dürfte. Würde man zudem die Server-Administration von der DNS-Administration trennen, könnte man z.B. einen CNAME 7f4c5e6c7997ad5392ffc4ea02b3ff3ddfcde438.debianforum.de auf debianforum.de definieren. Dann könnten vielleicht Browser durch einfache Namesauflösungen <sha1sum>.ssldomain.tld testen ob die SSL-Zertifikate auch valide sind.
Dir ist schon klar, dass praktisch jedem Phishing-Angriff ein in irgend einer weise manipulierter DNS-Eintrag vorausgieng. (Sei es durch spoofing oder duch falsche Domain-Namen.) Dmaint machst du genau die anfälligste Stelle zum Anker für die Sicherheit. Tolle Idee.
Aber im prinzip wir an sowas in vernünftig gearbeitet: https://tools.ietf.org/html/rfc4398 baut auf DNSSec auf und würde damit dank VeriSign als einziger RootCA das Ŕisiko deutlich verkleinern, da man dann genau die richtige und nicht mehr irgend eine CA kompromitieren müsste. Abschaffen tut es das aber nicht. Der einzige saubere Weg wäre sowas wie das WOT von PGP. Leider muss auch das als gescheitert gelten.
Surf mal irgend eine Sicherheits oder Porno oder sonstirgendwie Kritische Seite mit demda an: https://addons.mozilla.org/de/firefox/u ... -services/ die Mehrheit ist nicht in der Lage zu beweren klickt aber trotzdem. Oder Bewertet nach vorlieben und nicht nach echtheit. Defakto verhällt sich die masse nicht moralisch besser als der einzelne in der CA nur dümmer.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
novalix
Beiträge: 1908
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: Debian will no longer ship cacert.org certificates

Beitrag von novalix » 28.03.2014 11:32:50

dufty2 hat geschrieben: Aha, es geht Euch weniger um Sicherheit, viel mehr darum, dass jene nicht viel kosten darf, am besten gar nix ...
Ich denke, es geht bei diesem Thema im Wesentlichen weniger um Sicherheit im Sinne von funktionierender Verschlüsselung, sondern um Vertrauen in die Echtheit von Zertifikaten. Ich benutze den Begriff "Vertrauen", weil eine lückenlose technische Verifizierung sowieso nicht zur Disposition steht.
Die großen Browser- und Betriebssytemlieferanten stufen Zertifikate als vertrauenswürdig ein, weil sie bestimmte formale, institutionalisierte Bestimmungen erfüllen. Von einer vollständig technischen Verifizierbarkeit ist man dabei - logischerweise - meilenweit entfernt.
Die von @wanne oben verlinkten Fälle des Mißbrauchs dieses institutionalisierten Vertauens sind mit höchster Wahrscheinlichkeit nur die Spitze des Eisbergs vor dem Hintergrund der geleakten Informationen zu den Aktivitäten der Geheimdienste und anderer staatlicher Stellen.
Es gibt wenig Grund darin zu vertrauen, dass ein (hoch-)bezahltes Zertifikat grundlegend sicherer sei, als eines von CAcert.org.
Wie ich schon weiter oben schrieb, vertraue ich meinen selbst erstellten Zertifikaten mehr als allen anderen. Dritte sollten von diesem Vertauen tunlichst Abstand nehmen.
Man kann dem Zertifikatsaussteller letzlich nur vor den Kopf gucken, ob er Thawte oder novalix heisst, spielt da eine untergeordnete Rolle.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Debian will no longer ship cacert.org certificates

Beitrag von rendegast » 29.03.2014 10:05:09

Paranoia-Modus

Code: Alles auswählen

# apt-key list
/etc/apt/trusted.gpg
....
--------------------
/etc/apt/trusted.gpg.d//debian-archive-squeeze-automatic.gpg
------------------------------------------------------------
pub   4096R/473041FA 2010-08-27 [expires: 2018-03-05]
uid                  Debian Archive Automatic Signing Key (6.0/squeeze) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d//debian-archive-squeeze-stable.gpg
---------------------------------------------------------
pub   4096R/B98321F9 2010-08-07 [expires: 2017-08-05]
uid                  Squeeze Stable Release Key <debian-release@lists.debian.org>

/etc/apt/trusted.gpg.d//debian-archive-wheezy-automatic.gpg
-----------------------------------------------------------
pub   4096R/46925553 2012-04-27 [expires: 2020-04-25]
uid                  Debian Archive Automatic Signing Key (7.0/wheezy) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d//debian-archive-wheezy-stable.gpg
--------------------------------------------------------
pub   4096R/65FFB764 2012-05-08 [expires: 2019-05-07]
uid                  Wheezy Stable Release Key <debian-release@lists.debian.org>

Wir vertrauen ja diesen debian-Schlüsseln.
Auf die haben sicher nur eine Handvoll (doch mehr?) Leute Zugriff.
Und diese tragen sicher Sorge um ihre Fingernägel und Kniescheiben?
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

mase76
Beiträge: 1353
Registriert: 19.06.2004 08:57:32

Re: Debian will no longer ship cacert.org certificates

Beitrag von mase76 » 29.03.2014 11:59:05

Es ist aber auch falsch, CaCert mit den "Großen" zu vergleichen.
Das Prinzip ist ein völlig anderes. Ich muss mich halt von einigen
Leuten assuren lassen. Und wenn Mozilla dem nicht traut, dann
sollen es alle anderen auch nicht tun.
Sagt mir, warum sind "Großen" vertrauenswürdiger?
Ich finde es großartig, was die CaCert Community macht. Sie haben
ja reagiert. Mal sehen, was jetzt kommt.

Benutzeravatar
catdog2
Beiträge: 5352
Registriert: 24.06.2006 16:50:03
Lizenz eigener Beiträge: MIT Lizenz

Re: Debian will no longer ship cacert.org certificates

Beitrag von catdog2 » 29.03.2014 20:08:43

Und wenn Mozilla dem nicht traut, dann
sollen es alle anderen auch nicht tun.
Sagt mir, warum sind "Großen" vertrauenswürdiger?
Ich finde es großartig, was die CaCert Community macht. Sie haben
ja reagiert. Mal sehen, was jetzt kommt.
CAcert hat den Antrag bei Mozilla 2007 zurück gezogen https://bugzilla.mozilla.org/show_bug.c ... 15243#c158 und leider ist in der Richtung wohl nichts mehr passiert seitdem. Vor einigen Monaten hat halt jemand das Thema bei Debian wieder auf den Tisch gebracht und da ist dann auch aufgefallen, dass deren Quellcode wohl recht wenig vertrauenswürdig aussieht, wie schlimm darum wirklich steht hab ich mir nicht anschaut. (Generell ist es natürlich schon Vertrauensfördernd, wenn dieser offen liegt aber das kann eben genauso nach hinten losgehen).
Dass das grenzenlose Vertrauen in die Kommerziellen auch Problematisch ist ist nochmal ein anderes Thema aber dieses "CAcert ist besser weil das sind ja die armen underdogs" ist halt kein objektives Argument.
Unix is user-friendly; it's just picky about who its friends are.

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Debian will no longer ship cacert.org certificates

Beitrag von dufty2 » 29.03.2014 20:37:12

catdog2 hat geschrieben:
mase76 hat geschrieben:Sie haben ja reagiert. Mal sehen, was jetzt kommt.
CAcert hat den Antrag bei Mozilla 2007 zurück gezogen ...
Vermute, mase76 bezieht sich auf den Heise-Artikel von vorgestern:
http://www.heise.de/newsticker/meldung/ ... 56226.html

mase76
Beiträge: 1353
Registriert: 19.06.2004 08:57:32

Re: Debian will no longer ship cacert.org certificates

Beitrag von mase76 » 31.03.2014 18:56:23

Ja, diesen Artikel mein ich.
Ich denke, ob vertrauenswürdig oder nicht, darüber lässt sich ewig streiten.
Ich hätte es besser gefunden, wenn beim Installieren von ca-certificates,
der Benutzer gefragt worden wäre, ob er CaCert vertraut, oder nicht.

Benutzeravatar
TRex
Moderator
Beiträge: 8038
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Debian will no longer ship cacert.org certificates

Beitrag von TRex » 31.03.2014 20:59:31

Und dann konsequenterweise auch die anderen ablehnen :lol:
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

Antworten