Debian will no longer ship cacert.org certificates
Re: Debian will no longer ship cacert.org certificates
Ich fasse zusammen: Fast allen großen kommerziellen CAs stellten in der Vergangenheit falsche Zertifikate aus. Deswegen schmeißen wir die einzige nicht kommerzielle aus den Quellen. Klingt logisch.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Debian will no longer ship cacert.org certificates
Oh, die kannst Du sicher alle aufzählen, wenn man wanne glaubt, es möge die Mehrzahl sein ...mase76 hat geschrieben:Wieviele kommerzielle CAs haben in der Vergangenheit ihr Rootzertifikat verloren?
Aha, es geht Euch weniger um Sicherheit, viel mehr darum, dass jene nicht viel kosten darf, am besten gar nix ...mase76 hat geschrieben:Und die Jahresbeiträge sind auch utopisch.
Re: Debian will no longer ship cacert.org certificates
Naja, dass das Rootzertifikat verloren gegeangen ist, ist scher nachzuweisen. Aber wenn plötzlich leute für Seiten Zertifikate haben, die nich ihnen gehören würde ich der ausstellenden CA damit die Vertrauenswürdigkeit absprechen.dufty2 hat geschrieben:Oh, die kannst Du sicher alle aufzählen, wenn man wanne glaubt, es möge die Mehrzahl sein ....mase76 hat geschrieben:Wieviele kommerzielle CAs haben in der Vergangenheit ihr Rootzertifikat verloren?
Der wohl berühmteste Fall: DigiNotar: http://www.heise.de/security/meldung/CA ... 34098.html
Die mutter aller CAs: VeriSign: http://support.microsoft.com/kb/293817/de
DigiCert Sdn. Bhd stellt absichtlich schwache Zertifikate aus: http://www.entrust.com/512-bit-certific ... -the-wild/
Comodo Group Inc. verkauft wohl an den Meisbietenden statt an den Eigentümer: https://www.schneier.com/blog/archives/ ... up_is.html
Ansonsten würden mir auf anhieb 2 Leute einfallen, die Im namen der deutschen Telekom zertifizieren ohne weitere Kontrollen dürfen. Auch wenn mit nicht bekannt ist, dass die das misbrauchen: Vertrauenswürdig finde ich das nicht. CACert wird dafür kritisiert dass in der Vergangenheit in ausnahmenfällen genau das passieren konnte. Bei der Telekom ist das schlicht der Regelfall. Hatten wir da nicht schon irgend welche Zwangsproxys, die SSL der Telekom gemacht haben?
...
Kostenlse Certs gibts auch woandrs z.B da https://www.startssl.com/ Kann ich allen empfehlen, die keinen Ärger mit Warnmeldungen haben wollen. Aber darum geht es mir nicht. Im Prinzip finde ich die Certifikate sogar zu billig kann mir keiner erzählen, dass er für 3,50€ vernünftig weltweit Identitäten überprüfen kann. Das einzige was mich stört ist, dass da absichtlich schlechte Crypto (Abietergeneriere Certs, 1024Bit RSA...) verkaufen um für bessere mehr Geld zu verkaufen. – Obwohl die Mehrkosten für den Anbieter für ein gutes Zertifikat wohl deutlich unter einem Cent liegen dürften.dufty2 hat geschrieben:Aha, es geht Euch weniger um Sicherheit, viel mehr darum, dass jene nicht viel kosten darf, am besten gar nix ...
Dir ist schon klar, dass praktisch jedem Phishing-Angriff ein in irgend einer weise manipulierter DNS-Eintrag vorausgieng. (Sei es durch spoofing oder duch falsche Domain-Namen.) Dmaint machst du genau die anfälligste Stelle zum Anker für die Sicherheit. Tolle Idee.uname hat geschrieben:Ich denke den SHA1/MD5-Fingerprint auf weitere Server zu veröffentlichen wäre sinnvoll, worauf natürlich ein möglicher Angreifer über normale Servermechanismen des Ursprungsserver kein Zugriff haben dürfte. Würde man zudem die Server-Administration von der DNS-Administration trennen, könnte man z.B. einen CNAME 7f4c5e6c7997ad5392ffc4ea02b3ff3ddfcde438.debianforum.de auf debianforum.de definieren. Dann könnten vielleicht Browser durch einfache Namesauflösungen <sha1sum>.ssldomain.tld testen ob die SSL-Zertifikate auch valide sind.
Aber im prinzip wir an sowas in vernünftig gearbeitet: https://tools.ietf.org/html/rfc4398 baut auf DNSSec auf und würde damit dank VeriSign als einziger RootCA das Ŕisiko deutlich verkleinern, da man dann genau die richtige und nicht mehr irgend eine CA kompromitieren müsste. Abschaffen tut es das aber nicht. Der einzige saubere Weg wäre sowas wie das WOT von PGP. Leider muss auch das als gescheitert gelten.
Surf mal irgend eine Sicherheits oder Porno oder sonstirgendwie Kritische Seite mit demda an: https://addons.mozilla.org/de/firefox/u ... -services/ die Mehrheit ist nicht in der Lage zu beweren klickt aber trotzdem. Oder Bewertet nach vorlieben und nicht nach echtheit. Defakto verhällt sich die masse nicht moralisch besser als der einzelne in der CA nur dümmer.
rot: Moderator wanne spricht, default: User wanne spricht.
- novalix
- Beiträge: 1909
- Registriert: 05.10.2005 12:32:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: elberfeld
Re: Debian will no longer ship cacert.org certificates
Ich denke, es geht bei diesem Thema im Wesentlichen weniger um Sicherheit im Sinne von funktionierender Verschlüsselung, sondern um Vertrauen in die Echtheit von Zertifikaten. Ich benutze den Begriff "Vertrauen", weil eine lückenlose technische Verifizierung sowieso nicht zur Disposition steht.dufty2 hat geschrieben: Aha, es geht Euch weniger um Sicherheit, viel mehr darum, dass jene nicht viel kosten darf, am besten gar nix ...
Die großen Browser- und Betriebssytemlieferanten stufen Zertifikate als vertrauenswürdig ein, weil sie bestimmte formale, institutionalisierte Bestimmungen erfüllen. Von einer vollständig technischen Verifizierbarkeit ist man dabei - logischerweise - meilenweit entfernt.
Die von @wanne oben verlinkten Fälle des Mißbrauchs dieses institutionalisierten Vertauens sind mit höchster Wahrscheinlichkeit nur die Spitze des Eisbergs vor dem Hintergrund der geleakten Informationen zu den Aktivitäten der Geheimdienste und anderer staatlicher Stellen.
Es gibt wenig Grund darin zu vertrauen, dass ein (hoch-)bezahltes Zertifikat grundlegend sicherer sei, als eines von CAcert.org.
Wie ich schon weiter oben schrieb, vertraue ich meinen selbst erstellten Zertifikaten mehr als allen anderen. Dritte sollten von diesem Vertauen tunlichst Abstand nehmen.
Man kann dem Zertifikatsaussteller letzlich nur vor den Kopf gucken, ob er Thawte oder novalix heisst, spielt da eine untergeordnete Rolle.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.
Darum ist das Richtige selten, lobenswert und schön.
Re: Debian will no longer ship cacert.org certificates
Paranoia-Modus
Wir vertrauen ja diesen debian-Schlüsseln.
Auf die haben sicher nur eine Handvoll (doch mehr?) Leute Zugriff.
Und diese tragen sicher Sorge um ihre Fingernägel und Kniescheiben?
Code: Alles auswählen
# apt-key list
/etc/apt/trusted.gpg
....
--------------------
/etc/apt/trusted.gpg.d//debian-archive-squeeze-automatic.gpg
------------------------------------------------------------
pub 4096R/473041FA 2010-08-27 [expires: 2018-03-05]
uid Debian Archive Automatic Signing Key (6.0/squeeze) <ftpmaster@debian.org>
/etc/apt/trusted.gpg.d//debian-archive-squeeze-stable.gpg
---------------------------------------------------------
pub 4096R/B98321F9 2010-08-07 [expires: 2017-08-05]
uid Squeeze Stable Release Key <debian-release@lists.debian.org>
/etc/apt/trusted.gpg.d//debian-archive-wheezy-automatic.gpg
-----------------------------------------------------------
pub 4096R/46925553 2012-04-27 [expires: 2020-04-25]
uid Debian Archive Automatic Signing Key (7.0/wheezy) <ftpmaster@debian.org>
/etc/apt/trusted.gpg.d//debian-archive-wheezy-stable.gpg
--------------------------------------------------------
pub 4096R/65FFB764 2012-05-08 [expires: 2019-05-07]
uid Wheezy Stable Release Key <debian-release@lists.debian.org>
Auf die haben sicher nur eine Handvoll (doch mehr?) Leute Zugriff.
Und diese tragen sicher Sorge um ihre Fingernägel und Kniescheiben?
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: Debian will no longer ship cacert.org certificates
Es ist aber auch falsch, CaCert mit den "Großen" zu vergleichen.
Das Prinzip ist ein völlig anderes. Ich muss mich halt von einigen
Leuten assuren lassen. Und wenn Mozilla dem nicht traut, dann
sollen es alle anderen auch nicht tun.
Sagt mir, warum sind "Großen" vertrauenswürdiger?
Ich finde es großartig, was die CaCert Community macht. Sie haben
ja reagiert. Mal sehen, was jetzt kommt.
Das Prinzip ist ein völlig anderes. Ich muss mich halt von einigen
Leuten assuren lassen. Und wenn Mozilla dem nicht traut, dann
sollen es alle anderen auch nicht tun.
Sagt mir, warum sind "Großen" vertrauenswürdiger?
Ich finde es großartig, was die CaCert Community macht. Sie haben
ja reagiert. Mal sehen, was jetzt kommt.
Re: Debian will no longer ship cacert.org certificates
CAcert hat den Antrag bei Mozilla 2007 zurück gezogen https://bugzilla.mozilla.org/show_bug.c ... 15243#c158 und leider ist in der Richtung wohl nichts mehr passiert seitdem. Vor einigen Monaten hat halt jemand das Thema bei Debian wieder auf den Tisch gebracht und da ist dann auch aufgefallen, dass deren Quellcode wohl recht wenig vertrauenswürdig aussieht, wie schlimm darum wirklich steht hab ich mir nicht anschaut. (Generell ist es natürlich schon Vertrauensfördernd, wenn dieser offen liegt aber das kann eben genauso nach hinten losgehen).Und wenn Mozilla dem nicht traut, dann
sollen es alle anderen auch nicht tun.
Sagt mir, warum sind "Großen" vertrauenswürdiger?
Ich finde es großartig, was die CaCert Community macht. Sie haben
ja reagiert. Mal sehen, was jetzt kommt.
Dass das grenzenlose Vertrauen in die Kommerziellen auch Problematisch ist ist nochmal ein anderes Thema aber dieses "CAcert ist besser weil das sind ja die armen underdogs" ist halt kein objektives Argument.
Unix is user-friendly; it's just picky about who its friends are.
Re: Debian will no longer ship cacert.org certificates
Vermute, mase76 bezieht sich auf den Heise-Artikel von vorgestern:catdog2 hat geschrieben:CAcert hat den Antrag bei Mozilla 2007 zurück gezogen ...mase76 hat geschrieben:Sie haben ja reagiert. Mal sehen, was jetzt kommt.
http://www.heise.de/newsticker/meldung/ ... 56226.html
Re: Debian will no longer ship cacert.org certificates
Ja, diesen Artikel mein ich.
Ich denke, ob vertrauenswürdig oder nicht, darüber lässt sich ewig streiten.
Ich hätte es besser gefunden, wenn beim Installieren von ca-certificates,
der Benutzer gefragt worden wäre, ob er CaCert vertraut, oder nicht.
Ich denke, ob vertrauenswürdig oder nicht, darüber lässt sich ewig streiten.
Ich hätte es besser gefunden, wenn beim Installieren von ca-certificates,
der Benutzer gefragt worden wäre, ob er CaCert vertraut, oder nicht.
Re: Debian will no longer ship cacert.org certificates
Und dann konsequenterweise auch die anderen ablehnen
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: Debian will no longer ship cacert.org certificates
Naja, so ist's ja jetzt mehr oder weniger.mase76 hat geschrieben:Ich hätte es besser gefunden, wenn beim Installieren von ca-certificates,
der Benutzer gefragt worden wäre, ob er CaCert vertraut, oder nicht.
Aber wie siehst du das bei der Japanischen Regierung und bei
Code: Alles auswählen
AC Camerfirma S.A.
AC Camerfirma SA CIF A82743287
Actalis S.p.A./03358520967
AddTrust AB
AffirmTrust
Agencia Catalana de Certificacio (NIF Q-0801176-I)
America Online Inc.
AS Sertifitseerimiskeskus
A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH
Baltimore
Buypass AS-983163327
Certinomis
Certplus
certSIGN
Chunghwa Telecom Co.
CNNIC
Comodo CA Limited
COMODO CA Limited
ComSign
Deutscher Sparkassen Verlag GmbH
Deutsche Telekom AG
Dhimyotis
DigiCert Inc
Digital Signature Trust
Digital Signature Trust Co.
Disig a.s.
EBG Bilişim Teknolojileri ve Hizmetleri A.Ş.
EDICOM
Elektronik Bilgi Guvenligi A.S.
Entrust
Entrust.net
Equifax
Equifax Secure
Equifax Secure Inc.
Generalitat Valenciana
GeoTrust Inc.
GlobalSign
GlobalSign nv-sa
GoDaddy.com
Government Root Certification Authority
GTE Corporation
Hellenic Academic and Research Institutions Cert. Authority
Hongkong Post
Cybertrust
Digital Signature Trust Co.
Entrust.net
RSA Security Inc
IZENPE S.A.
Japan Certification Services
Japanese Government
Microsec Ltd.
NetLock Halozatbiztonsagi Kft.
NetLock Kft.
Network Solutions L.L.C.
PM/SGDN
QuoVadis Limited
SECOM Trust.net
SECOM Trust Systems CO.
SecureTrust Corporation
Sociedad Cameral de Certificación Digital - Certicámara S.A.
Sonera
Staat der Nederlanden
Starfield Technologies
StartCom Ltd.
Swisscom
SwissSign AG
TAIWAN-CA
TC TrustCenter GmbH
TDC
TDC Internet
thawte
Thawte Consulting cc
The Go Daddy Group
The USERTRUST Network
Trustis Limited
T-Systems Enterprise Services GmbH
TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. (c) Kasım 2005
Türkiye Bilimsel ve Teknolojik Araştırma Kurumu - TÜBİTAK
Unizeto Sp. z o.o.
Unizeto Technologies S.A.
ValiCert
VeriSign
VISA
Wells Fargo
Wells Fargo WellsSecure
WISeKey
XRamp Security Services Inc
rot: Moderator wanne spricht, default: User wanne spricht.