Debian will no longer ship cacert.org certificates
-
- Beiträge: 939
- Registriert: 16.02.2009 09:35:10
Debian will no longer ship cacert.org certificates
Ich war mal bei so einer Veranstaltung, habe auch einen Account, aber bin in dieses Web of Trust nicht wirklich eingestiegen. Beim Vortrag damals ging es darum, wie man in die Browser bzw. Betriebssysteme kommt. Und jetzt schmeißen sie die cacert.org ca zumindest in SID raus. Weiß da jemand näheres?
Soft: Bullseye AMD64, MATE Desktop. Repo's: Backports, kein Proposed, eigene Backports. Grafik: Radeon R7 360 MESA.
Hardware: Thinkstation S20, Intel X58, 16GB, Xeon W3530, BCM5755 NIC, EMU10K1 SND, SATA SSD+HDS und DVD+RW.
Hardware: Thinkstation S20, Intel X58, 16GB, Xeon W3530, BCM5755 NIC, EMU10K1 SND, SATA SSD+HDS und DVD+RW.
Re: Debian will no longer ship cacert.org certificates
https://bugs.debian.org/cgi-bin/bugrepo ... bug=718434
CAcert, Idee gut, Umsetzung an vielen Stellen naja.
CAcert, Idee gut, Umsetzung an vielen Stellen naja.
Unix is user-friendly; it's just picky about who its friends are.
-
- Beiträge: 939
- Registriert: 16.02.2009 09:35:10
Re: Debian will no longer ship cacert.org certificates
Mein erster Eindruck war, dass da unglaublich viel Engagement dahinter steckt. Aber wohl auch viele Glaubenskriege. Ich erinnere mich noch an das Passwort setzen für cacert, wo die Regeln dafür mich in den Wahnsinn getrieben haben. Das ist das einzigste Passwort was ich wirklich in eine Datei packen musste. Ein reines copy/paste Passwort.
Eine Notiz am Rande. In dem von Dir verlinkten Bugreport schrieb auch jemand, dass die Art der Warnung bei Browsern bei selbst signierten Zertifikaten zu brachial ist. Wem traut man mehr, der CA oder dem, der sich sein Zertifikat selbst ausstellt. Naja
Eine Notiz am Rande. In dem von Dir verlinkten Bugreport schrieb auch jemand, dass die Art der Warnung bei Browsern bei selbst signierten Zertifikaten zu brachial ist. Wem traut man mehr, der CA oder dem, der sich sein Zertifikat selbst ausstellt. Naja
Soft: Bullseye AMD64, MATE Desktop. Repo's: Backports, kein Proposed, eigene Backports. Grafik: Radeon R7 360 MESA.
Hardware: Thinkstation S20, Intel X58, 16GB, Xeon W3530, BCM5755 NIC, EMU10K1 SND, SATA SSD+HDS und DVD+RW.
Hardware: Thinkstation S20, Intel X58, 16GB, Xeon W3530, BCM5755 NIC, EMU10K1 SND, SATA SSD+HDS und DVD+RW.
- novalix
- Beiträge: 1908
- Registriert: 05.10.2005 12:32:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: elberfeld
Re: Debian will no longer ship cacert.org certificates
Wobei man sagen muss, dass man bei CAcert immerhin dieses "naja" feststellen und ggf. verbessern kann.catdog2 hat geschrieben: CAcert, Idee gut, Umsetzung an vielen Stellen naja.
Das "naja" der "vertrauenswürdigen" CAs kennen wir nicht. Doof und nicht gerade vertrauenserweckend.
Ich persönlich vertraue am meisten den Zertifikaten, die ich selbst erzeugt und unterschrieben habe. 100% gebe ich denen aber auch nicht. So richtig in Erklärungsnöte komme ich dann, wenn ich anderen versichern soll, dass sie meinen Zertifikaten trauen sollen. Technisch ist das nicht zu begründen. Die gleichen Leute vertrauen aber den Zertifikaten von Diginotar & Co. Das ist technisch ebensowenig begründbar.
Der institutionelle Schnick-Schnack mit dem deren Vertrauenswürdigkeit begründet wird, ist eine sehr, sehr zweifelhafte Grundlage für Vertrauen.
Kontrolle wäre wahrscheinlich besser. Die haben aber andere (Mafia, Geheimdienste, Corporate und so).
Groetjes, niels
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.
Darum ist das Richtige selten, lobenswert und schön.
Re: Debian will no longer ship cacert.org certificates
Nicht, dass die kommerziellen besser wären… Das ganze System mit den CAs ist eh fragwürdig so wie es ist.Das "naja" der "vertrauenswürdigen" CAs kennen wir nicht. Doof und nicht gerade vertrauenserweckend.
Das viele Engagement hat leider über die Jahre zu kaum was praktisch verwendbaren geführt. Gut möglich, dass sie sich da alle gegenseitig ihm Weg stehen.Mein erster Eindruck war, dass da unglaublich viel Engagement dahinter steckt.
Unix is user-friendly; it's just picky about who its friends are.
- schorsch_76
- Beiträge: 2535
- Registriert: 06.11.2007 16:00:42
- Lizenz eigener Beiträge: MIT Lizenz
Re: Debian will no longer ship cacert.org certificates
Ich persönlich traue den Leuten meist mehr, wenn sie ihr persönliches Zertifikat ausstellen, als wenn sie eines einer großen CA das Zertifikat beziehen. Wahrscheinlich ein bischen zu paranoid .... oder auch nicht???
Re: Debian will no longer ship cacert.org certificates
Bei https://www.ssllabs.com/ssltest/ gibt es für das Debianforum-Zertifikat erwartungsgemäß nur ein "F". Ich halte diese ganzen CAs auch für wenig sinnvoll.
Besser wäre es, wenn der Betreiber der Webseite unabhängig von irgendeiner vermeintlich vertraunswürdigen Stelle den SHA1/MD5-Fingerprint seines Zertifikats dem Anwender selbst bereitstellt. Leider wird das selbst für das Debianforum scheinbar nicht umgesetzt.
Ich denke den SHA1/MD5-Fingerprint auf weitere Server zu veröffentlichen wäre sinnvoll, worauf natürlich ein möglicher Angreifer über normale Servermechanismen des Ursprungsserver kein Zugriff haben dürfte.
Würde man zudem die Server-Administration von der DNS-Administration trennen, könnte man z.B. einen CNAME 7f4c5e6c7997ad5392ffc4ea02b3ff3ddfcde438.debianforum.de auf debianforum.de definieren. Dann könnten vielleicht Browser durch einfache Namesauflösungen <sha1sum>.ssldomain.tld testen ob die SSL-Zertifikate auch valide sind. Wäre aber wahrscheinlich alles viel zu einfach und dezentrale Organisationsstrukturen vor allem im Bereich Sicherheit sind ja aufgrund der NSA wahrscheinlich gar nicht gewünscht. Aber vielleicht ist DNS dazu auch nicht wirklich geeignet und es gibt bessere Möglichkeiten.
Besser wäre es, wenn der Betreiber der Webseite unabhängig von irgendeiner vermeintlich vertraunswürdigen Stelle den SHA1/MD5-Fingerprint seines Zertifikats dem Anwender selbst bereitstellt. Leider wird das selbst für das Debianforum scheinbar nicht umgesetzt.
Ich denke den SHA1/MD5-Fingerprint auf weitere Server zu veröffentlichen wäre sinnvoll, worauf natürlich ein möglicher Angreifer über normale Servermechanismen des Ursprungsserver kein Zugriff haben dürfte.
Würde man zudem die Server-Administration von der DNS-Administration trennen, könnte man z.B. einen CNAME 7f4c5e6c7997ad5392ffc4ea02b3ff3ddfcde438.debianforum.de auf debianforum.de definieren. Dann könnten vielleicht Browser durch einfache Namesauflösungen <sha1sum>.ssldomain.tld testen ob die SSL-Zertifikate auch valide sind. Wäre aber wahrscheinlich alles viel zu einfach und dezentrale Organisationsstrukturen vor allem im Bereich Sicherheit sind ja aufgrund der NSA wahrscheinlich gar nicht gewünscht. Aber vielleicht ist DNS dazu auch nicht wirklich geeignet und es gibt bessere Möglichkeiten.
-
- Beiträge: 3273
- Registriert: 29.06.2013 17:32:10
- Lizenz eigener Beiträge: GNU General Public License
-
Kontaktdaten:
Re: Debian will no longer ship cacert.org certificates
Kommt die Meldung nicht deswegen so brachial daher, wegen der Art wie das Zertifikat eingespielt wird? Das Zertifikat ist ja zunächst als vertrauenswürding anzusehen.In dem [...] verlinkten Bugreport schrieb auch jemand, dass die Art der Warnung bei Browsern bei selbst signierten Zertifikaten zu brachial ist. Wem traut man mehr, der CA oder dem, der sich sein Zertifikat selbst ausstellt.
Wenn nun keine Zertifikate mit Debian ausgeliefert werden, wie impotiert man die korrekt? Wird ein Zertifikat über den Browser eingespielt, findet ja keine Prüfung statt, ob es das richtige ist...
Greift hier die Prüfung via dem SSL Observatory von HTTPS-Everywhere? Ist die Funktion aktiviert, überprüft das Add-on beim Aufruf einer Webseite das SSL-Zertifikat mit einer auf dem EFF-Server bereitgestellten Liste. Aber diese Liste umfasst auch keine Zertifikate die dort nicht veröffentlicht sind. Und wie manipulierbar ist die Überprüfung?
(=_=)
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
-
- Beiträge: 939
- Registriert: 16.02.2009 09:35:10
Re: Debian will no longer ship cacert.org certificates
Zufälligerweise habe ich mich mit so einer Problematik in letzter Zeit leider intensiv auseinandersetzen müssen wegen der Umstellung eines firmeninternen Dienstes auf HTTPS. Der korrekte Weg ist wohl ein Debian Paket zu verteilen, in dem das Zertifikat der internen CA in /usr/share/ca-certificates mit der Endung crt vorliegt. Dann ganz wichtig, "dpkg-reconfigure ca-certificates" durchlaufen lassen und der neuen CA vertrauen. Danach schluckt fast alles in Debian vom OpenJDK JRE über Curl bis Lynx die Zertifikate der neuen Server, die man bei der CA beantragt hat. Natürlich bis auf die Browser, die ihr eigenes Süppchen kochen, und debianfremden Paketen, wie zum Beispiel das Oracle JREinne hat geschrieben:Wenn nun keine Zertifikate mit Debian ausgeliefert werden, wie impotiert man die korrekt?
Soft: Bullseye AMD64, MATE Desktop. Repo's: Backports, kein Proposed, eigene Backports. Grafik: Radeon R7 360 MESA.
Hardware: Thinkstation S20, Intel X58, 16GB, Xeon W3530, BCM5755 NIC, EMU10K1 SND, SATA SSD+HDS und DVD+RW.
Hardware: Thinkstation S20, Intel X58, 16GB, Xeon W3530, BCM5755 NIC, EMU10K1 SND, SATA SSD+HDS und DVD+RW.
- schorsch_76
- Beiträge: 2535
- Registriert: 06.11.2007 16:00:42
- Lizenz eigener Beiträge: MIT Lizenz
Re: Debian will no longer ship cacert.org certificates
Du must kein eigenes Packet erstellen, du kannst es auch einfach /usr/local/ca-certificates/ packen (*.crt) und update-certificates ausführen.
-
- Beiträge: 939
- Registriert: 16.02.2009 09:35:10
Re: Debian will no longer ship cacert.org certificates
Das Paket gab es schon, sorry wenn das falsch rüberkam. Den Spaß hatte ich mit Oracle-Java, was sich nicht für die von Debian verwalteten Keys interessiert hat. Macht update-ca-certificates eigentlich das selbe wie dpkg-reconfigure?
Soft: Bullseye AMD64, MATE Desktop. Repo's: Backports, kein Proposed, eigene Backports. Grafik: Radeon R7 360 MESA.
Hardware: Thinkstation S20, Intel X58, 16GB, Xeon W3530, BCM5755 NIC, EMU10K1 SND, SATA SSD+HDS und DVD+RW.
Hardware: Thinkstation S20, Intel X58, 16GB, Xeon W3530, BCM5755 NIC, EMU10K1 SND, SATA SSD+HDS und DVD+RW.
Re: Debian will no longer ship cacert.org certificates
Nein, dpkg-reconfigure wird wohlnudgegoonies hat geschrieben: Macht update-ca-certificates eigentlich das selbe wie dpkg-reconfigure?
Code: Alles auswählen
/var/lib/dpkg/info/ca-certificates.postinst configure
(Darin wird auch update-ca-certificates aufgerufen.)
oder
/var/lib/dpkg/info/ca-certificates.config [re]configure
<-> /usr/sbin/update-ca-certificates
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: Debian will no longer ship cacert.org certificates
Hallo.
ich komme seit neustem mit Chromium unter Debian SID nicht mehr auf die Debianforum Seite. Das Zertifikat ist nicht "vertrauenswürdig". Ich habe auch keine Möglichkeit gefunden, die Meldung zu umgehen Also bleibt mir im Moment nur Iceweasel...
Das nur zur Info.
EDIT: Nach löschen des Caches bekomme ich jetzt doch die Seite mit "Trotzdem fortfahren"...
Bis dann,
artemis
ich komme seit neustem mit Chromium unter Debian SID nicht mehr auf die Debianforum Seite. Das Zertifikat ist nicht "vertrauenswürdig". Ich habe auch keine Möglichkeit gefunden, die Meldung zu umgehen Also bleibt mir im Moment nur Iceweasel...
Das nur zur Info.
EDIT: Nach löschen des Caches bekomme ich jetzt doch die Seite mit "Trotzdem fortfahren"...
Bis dann,
artemis
Re: Debian will no longer ship cacert.org certificates
Außer dem Login-pw und dem des Passwortsafe kenne ich kein einziges meiner PW.nudgegoonies hat geschrieben:Ich erinnere mich noch an das Passwort setzen für cacert, wo die Regeln dafür mich in den Wahnsinn getrieben haben. Das ist das einzigste Passwort was ich wirklich in eine Datei packen musste. Ein reines copy/paste Passwort.
Werden alle generiert (mit 20+ Zeichen) und per CTRL-C/-V verwendet.
Selbst unter Androhung von Waffengewalt könnt' ich nicht sagen, wie sie aussehen geschweige denn merken ...
Re: Debian will no longer ship cacert.org certificates
Ich finde es nicht in Ordnung, dass das Rootzertifikat aus Debian rausgeflogen ist.
Zumindest sollte im Configdialog nachgefragt werden, ob man der CA vertraut.
Wir sollten froh sein, dass es sowas wie CaCert.org gibt. Ob man die Vorgehensweise
gut heisst, oder nicht, darüber lässt sich streiten. Sollte jeder selber entscheiden.
Nur das ganze aus Debian rauszuschmeissen, ist meiner Meinung nach, ein Tritt ins
Gesicht der CaCert.org Community.
Und das Argument, dass Mozilla denen nicht traut, ist für mich wenig wert. Wieviele
kommerzielle CAs haben in der Vergangenheit ihr Rootzertifikat verloren? Und denen
soll ich dann mehr trauen? Und die Jahresbeiträge sind auch utopisch.
Zumindest sollte im Configdialog nachgefragt werden, ob man der CA vertraut.
Wir sollten froh sein, dass es sowas wie CaCert.org gibt. Ob man die Vorgehensweise
gut heisst, oder nicht, darüber lässt sich streiten. Sollte jeder selber entscheiden.
Nur das ganze aus Debian rauszuschmeissen, ist meiner Meinung nach, ein Tritt ins
Gesicht der CaCert.org Community.
Und das Argument, dass Mozilla denen nicht traut, ist für mich wenig wert. Wieviele
kommerzielle CAs haben in der Vergangenheit ihr Rootzertifikat verloren? Und denen
soll ich dann mehr trauen? Und die Jahresbeiträge sind auch utopisch.
Re: Debian will no longer ship cacert.org certificates
Ich fasse zusammen: Fast allen großen kommerziellen CAs stellten in der Vergangenheit falsche Zertifikate aus. Deswegen schmeißen wir die einzige nicht kommerzielle aus den Quellen. Klingt logisch.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Debian will no longer ship cacert.org certificates
Oh, die kannst Du sicher alle aufzählen, wenn man wanne glaubt, es möge die Mehrzahl sein ...mase76 hat geschrieben:Wieviele kommerzielle CAs haben in der Vergangenheit ihr Rootzertifikat verloren?
Aha, es geht Euch weniger um Sicherheit, viel mehr darum, dass jene nicht viel kosten darf, am besten gar nix ...mase76 hat geschrieben:Und die Jahresbeiträge sind auch utopisch.
Re: Debian will no longer ship cacert.org certificates
Naja, dass das Rootzertifikat verloren gegeangen ist, ist scher nachzuweisen. Aber wenn plötzlich leute für Seiten Zertifikate haben, die nich ihnen gehören würde ich der ausstellenden CA damit die Vertrauenswürdigkeit absprechen.dufty2 hat geschrieben:Oh, die kannst Du sicher alle aufzählen, wenn man wanne glaubt, es möge die Mehrzahl sein ....mase76 hat geschrieben:Wieviele kommerzielle CAs haben in der Vergangenheit ihr Rootzertifikat verloren?
Der wohl berühmteste Fall: DigiNotar: http://www.heise.de/security/meldung/CA ... 34098.html
Die mutter aller CAs: VeriSign: http://support.microsoft.com/kb/293817/de
DigiCert Sdn. Bhd stellt absichtlich schwache Zertifikate aus: http://www.entrust.com/512-bit-certific ... -the-wild/
Comodo Group Inc. verkauft wohl an den Meisbietenden statt an den Eigentümer: https://www.schneier.com/blog/archives/ ... up_is.html
Ansonsten würden mir auf anhieb 2 Leute einfallen, die Im namen der deutschen Telekom zertifizieren ohne weitere Kontrollen dürfen. Auch wenn mit nicht bekannt ist, dass die das misbrauchen: Vertrauenswürdig finde ich das nicht. CACert wird dafür kritisiert dass in der Vergangenheit in ausnahmenfällen genau das passieren konnte. Bei der Telekom ist das schlicht der Regelfall. Hatten wir da nicht schon irgend welche Zwangsproxys, die SSL der Telekom gemacht haben?
...
Kostenlse Certs gibts auch woandrs z.B da https://www.startssl.com/ Kann ich allen empfehlen, die keinen Ärger mit Warnmeldungen haben wollen. Aber darum geht es mir nicht. Im Prinzip finde ich die Certifikate sogar zu billig kann mir keiner erzählen, dass er für 3,50€ vernünftig weltweit Identitäten überprüfen kann. Das einzige was mich stört ist, dass da absichtlich schlechte Crypto (Abietergeneriere Certs, 1024Bit RSA...) verkaufen um für bessere mehr Geld zu verkaufen. – Obwohl die Mehrkosten für den Anbieter für ein gutes Zertifikat wohl deutlich unter einem Cent liegen dürften.dufty2 hat geschrieben:Aha, es geht Euch weniger um Sicherheit, viel mehr darum, dass jene nicht viel kosten darf, am besten gar nix ...
Dir ist schon klar, dass praktisch jedem Phishing-Angriff ein in irgend einer weise manipulierter DNS-Eintrag vorausgieng. (Sei es durch spoofing oder duch falsche Domain-Namen.) Dmaint machst du genau die anfälligste Stelle zum Anker für die Sicherheit. Tolle Idee.uname hat geschrieben:Ich denke den SHA1/MD5-Fingerprint auf weitere Server zu veröffentlichen wäre sinnvoll, worauf natürlich ein möglicher Angreifer über normale Servermechanismen des Ursprungsserver kein Zugriff haben dürfte. Würde man zudem die Server-Administration von der DNS-Administration trennen, könnte man z.B. einen CNAME 7f4c5e6c7997ad5392ffc4ea02b3ff3ddfcde438.debianforum.de auf debianforum.de definieren. Dann könnten vielleicht Browser durch einfache Namesauflösungen <sha1sum>.ssldomain.tld testen ob die SSL-Zertifikate auch valide sind.
Aber im prinzip wir an sowas in vernünftig gearbeitet: https://tools.ietf.org/html/rfc4398 baut auf DNSSec auf und würde damit dank VeriSign als einziger RootCA das Ŕisiko deutlich verkleinern, da man dann genau die richtige und nicht mehr irgend eine CA kompromitieren müsste. Abschaffen tut es das aber nicht. Der einzige saubere Weg wäre sowas wie das WOT von PGP. Leider muss auch das als gescheitert gelten.
Surf mal irgend eine Sicherheits oder Porno oder sonstirgendwie Kritische Seite mit demda an: https://addons.mozilla.org/de/firefox/u ... -services/ die Mehrheit ist nicht in der Lage zu beweren klickt aber trotzdem. Oder Bewertet nach vorlieben und nicht nach echtheit. Defakto verhällt sich die masse nicht moralisch besser als der einzelne in der CA nur dümmer.
rot: Moderator wanne spricht, default: User wanne spricht.
- novalix
- Beiträge: 1908
- Registriert: 05.10.2005 12:32:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: elberfeld
Re: Debian will no longer ship cacert.org certificates
Ich denke, es geht bei diesem Thema im Wesentlichen weniger um Sicherheit im Sinne von funktionierender Verschlüsselung, sondern um Vertrauen in die Echtheit von Zertifikaten. Ich benutze den Begriff "Vertrauen", weil eine lückenlose technische Verifizierung sowieso nicht zur Disposition steht.dufty2 hat geschrieben: Aha, es geht Euch weniger um Sicherheit, viel mehr darum, dass jene nicht viel kosten darf, am besten gar nix ...
Die großen Browser- und Betriebssytemlieferanten stufen Zertifikate als vertrauenswürdig ein, weil sie bestimmte formale, institutionalisierte Bestimmungen erfüllen. Von einer vollständig technischen Verifizierbarkeit ist man dabei - logischerweise - meilenweit entfernt.
Die von @wanne oben verlinkten Fälle des Mißbrauchs dieses institutionalisierten Vertauens sind mit höchster Wahrscheinlichkeit nur die Spitze des Eisbergs vor dem Hintergrund der geleakten Informationen zu den Aktivitäten der Geheimdienste und anderer staatlicher Stellen.
Es gibt wenig Grund darin zu vertrauen, dass ein (hoch-)bezahltes Zertifikat grundlegend sicherer sei, als eines von CAcert.org.
Wie ich schon weiter oben schrieb, vertraue ich meinen selbst erstellten Zertifikaten mehr als allen anderen. Dritte sollten von diesem Vertauen tunlichst Abstand nehmen.
Man kann dem Zertifikatsaussteller letzlich nur vor den Kopf gucken, ob er Thawte oder novalix heisst, spielt da eine untergeordnete Rolle.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.
Darum ist das Richtige selten, lobenswert und schön.
Re: Debian will no longer ship cacert.org certificates
Paranoia-Modus
Wir vertrauen ja diesen debian-Schlüsseln.
Auf die haben sicher nur eine Handvoll (doch mehr?) Leute Zugriff.
Und diese tragen sicher Sorge um ihre Fingernägel und Kniescheiben?
Code: Alles auswählen
# apt-key list
/etc/apt/trusted.gpg
....
--------------------
/etc/apt/trusted.gpg.d//debian-archive-squeeze-automatic.gpg
------------------------------------------------------------
pub 4096R/473041FA 2010-08-27 [expires: 2018-03-05]
uid Debian Archive Automatic Signing Key (6.0/squeeze) <ftpmaster@debian.org>
/etc/apt/trusted.gpg.d//debian-archive-squeeze-stable.gpg
---------------------------------------------------------
pub 4096R/B98321F9 2010-08-07 [expires: 2017-08-05]
uid Squeeze Stable Release Key <debian-release@lists.debian.org>
/etc/apt/trusted.gpg.d//debian-archive-wheezy-automatic.gpg
-----------------------------------------------------------
pub 4096R/46925553 2012-04-27 [expires: 2020-04-25]
uid Debian Archive Automatic Signing Key (7.0/wheezy) <ftpmaster@debian.org>
/etc/apt/trusted.gpg.d//debian-archive-wheezy-stable.gpg
--------------------------------------------------------
pub 4096R/65FFB764 2012-05-08 [expires: 2019-05-07]
uid Wheezy Stable Release Key <debian-release@lists.debian.org>
Auf die haben sicher nur eine Handvoll (doch mehr?) Leute Zugriff.
Und diese tragen sicher Sorge um ihre Fingernägel und Kniescheiben?
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: Debian will no longer ship cacert.org certificates
Es ist aber auch falsch, CaCert mit den "Großen" zu vergleichen.
Das Prinzip ist ein völlig anderes. Ich muss mich halt von einigen
Leuten assuren lassen. Und wenn Mozilla dem nicht traut, dann
sollen es alle anderen auch nicht tun.
Sagt mir, warum sind "Großen" vertrauenswürdiger?
Ich finde es großartig, was die CaCert Community macht. Sie haben
ja reagiert. Mal sehen, was jetzt kommt.
Das Prinzip ist ein völlig anderes. Ich muss mich halt von einigen
Leuten assuren lassen. Und wenn Mozilla dem nicht traut, dann
sollen es alle anderen auch nicht tun.
Sagt mir, warum sind "Großen" vertrauenswürdiger?
Ich finde es großartig, was die CaCert Community macht. Sie haben
ja reagiert. Mal sehen, was jetzt kommt.
Re: Debian will no longer ship cacert.org certificates
CAcert hat den Antrag bei Mozilla 2007 zurück gezogen https://bugzilla.mozilla.org/show_bug.c ... 15243#c158 und leider ist in der Richtung wohl nichts mehr passiert seitdem. Vor einigen Monaten hat halt jemand das Thema bei Debian wieder auf den Tisch gebracht und da ist dann auch aufgefallen, dass deren Quellcode wohl recht wenig vertrauenswürdig aussieht, wie schlimm darum wirklich steht hab ich mir nicht anschaut. (Generell ist es natürlich schon Vertrauensfördernd, wenn dieser offen liegt aber das kann eben genauso nach hinten losgehen).Und wenn Mozilla dem nicht traut, dann
sollen es alle anderen auch nicht tun.
Sagt mir, warum sind "Großen" vertrauenswürdiger?
Ich finde es großartig, was die CaCert Community macht. Sie haben
ja reagiert. Mal sehen, was jetzt kommt.
Dass das grenzenlose Vertrauen in die Kommerziellen auch Problematisch ist ist nochmal ein anderes Thema aber dieses "CAcert ist besser weil das sind ja die armen underdogs" ist halt kein objektives Argument.
Unix is user-friendly; it's just picky about who its friends are.
Re: Debian will no longer ship cacert.org certificates
Vermute, mase76 bezieht sich auf den Heise-Artikel von vorgestern:catdog2 hat geschrieben:CAcert hat den Antrag bei Mozilla 2007 zurück gezogen ...mase76 hat geschrieben:Sie haben ja reagiert. Mal sehen, was jetzt kommt.
http://www.heise.de/newsticker/meldung/ ... 56226.html
Re: Debian will no longer ship cacert.org certificates
Ja, diesen Artikel mein ich.
Ich denke, ob vertrauenswürdig oder nicht, darüber lässt sich ewig streiten.
Ich hätte es besser gefunden, wenn beim Installieren von ca-certificates,
der Benutzer gefragt worden wäre, ob er CaCert vertraut, oder nicht.
Ich denke, ob vertrauenswürdig oder nicht, darüber lässt sich ewig streiten.
Ich hätte es besser gefunden, wenn beim Installieren von ca-certificates,
der Benutzer gefragt worden wäre, ob er CaCert vertraut, oder nicht.
- TRex
- Moderator
- Beiträge: 8038
- Registriert: 23.11.2006 12:23:54
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: KA
Re: Debian will no longer ship cacert.org certificates
Und dann konsequenterweise auch die anderen ablehnen
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht