neues (länger gültiges) CACert.org SSL-Zertifikat

Neues rund um debianforum.de
Antworten
Benutzeravatar
feltel
Webmaster
Beiträge: 9815
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

neues (länger gültiges) CACert.org SSL-Zertifikat

Beitrag von feltel » 01.04.2010 06:20:14

Wie angekündigt habe ich fürs Forum ein neues CAcert.org-Zertifikat ausstellen lassen. Da es sich diesmal um ein "Class 3"-Zertikat handelt werdet ihr ggf. auch das entsprechende Root-Zertifikat von http://www.cacert.org/index.php?id=3 einspielen müssen.

Die SHA1-Prüfsumme des neuen bis Ende März 2012 gültigen Zertifikates lautet:

Code: Alles auswählen

b1 b3 27 b3 1e cb d7 26 35 14 87 1f 69 08 48 09 a5 13 b1 40

Benutzeravatar
Duff
Beiträge: 6321
Registriert: 22.03.2005 14:36:03
Wohnort: /home/duff

Re: neues (länger gültiges) CACert.org SSL-Zertifikat

Beitrag von Duff » 01.04.2010 07:38:50

Habe es gerade auch gemerkt ;-)
Oh, yeah!

Benutzeravatar
mistersixt
Beiträge: 6571
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

Re: neues (länger gültiges) CACert.org SSL-Zertifikat

Beitrag von mistersixt » 01.04.2010 14:06:54

Hast Du es endlich geschafft feltel ;) - Gratu !

Gruss, mistersixt.
--
System: Debian Buster, 4.19.x.-x-amd64, ext4, AMD Ryzen 7, 8 x 3.7 Ghz., NV-GTX 1060, 16 GB Ram, XFCE

xdanx
Beiträge: 473
Registriert: 15.11.2007 22:07:42
Lizenz eigener Beiträge: GNU General Public License

Re: neues (länger gültiges) CACert.org SSL-Zertifikat

Beitrag von xdanx » 01.04.2010 17:15:31

Mein Iceweasel Addon "SSL Blacklist" präsentiert mir seit dem Zertifikatswechsel folgende Warnmeldung:
A potentially compromised SSL certicitate has been detected

Access to the following URL may not be secure:
viewtopic.php?f=5&t=119430

A subordinate CA certificate has been signed using the MD5 algorithm.
It is recommended that you do not exchange sensitive data with this website.

Benutzeravatar
feltel
Webmaster
Beiträge: 9815
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: neues (länger gültiges) CACert.org SSL-Zertifikat

Beitrag von feltel » 01.04.2010 18:17:04

Hmmm, den Zertifikatsrequest hab ich wie sonst auch immer erstellt. :roll:

123456
Beiträge: 6126
Registriert: 08.03.2003 14:07:24

Re: neues (länger gültiges) CACert.org SSL-Zertifikat

Beitrag von 123456 » 01.04.2010 18:41:53

Seltsam, das 1. April Zertifikat ist definitiv "PKCS #1 MD5 With RSA Encryption" signiert.

CAcert sagt:
CAcert has switched from MD5 to SHA-1 for certificate-issueing a few years ago, when the first research results were made public that indicated that such an attack will become feasible.
aus: http://blog.cacert.org/2009/01/356.html

ich werd gerade nicht ganz schlau draus.

Benutzeravatar
feltel
Webmaster
Beiträge: 9815
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: neues (länger gültiges) CACert.org SSL-Zertifikat

Beitrag von feltel » 01.04.2010 18:45:12

Code: Alles auswählen

openssl req -newkey rsa:2048 -nodes -keyout apache.key -out apache.csr
Damit ist der CSR generiert worden.

123456
Beiträge: 6126
Registriert: 08.03.2003 14:07:24

Re: neues (länger gültiges) CACert.org SSL-Zertifikat

Beitrag von 123456 » 01.04.2010 19:11:22

Hmmh, Kommando halb zurück.
ich habe mir den Zertifikatsbaum nochmal angesehen. Das root Zertifikat von Ca-cert ist md5 signiert, das df Zertifikat ist sha1 signiert.
ich habe bei mir jetzt mal alle alten df Zertifikate und df root Zertifikate (gabs ja mal) die ich finden konnte gelöscht, ausserdem habe ich das Class 3 root Zertifikat nochmal runtergeladen - und das ist md5 signiert (der Signaturalgorithmus ist md5RSA). Die Fehlermeldung scheint also daher (vom Class 3 root Zertifikat) zu kommen. Warum das root Zertifikat:
http://www.cacert.org/index.php?id=3
aber md5 signiert ist, ist mir etwas scheierhaft.

EDIT:
nach Sichtung von anderen CAcert zertifizierten Seiten scheint das Problem dort auch so aufzutreten.

EDIT2:
das FF Addon "SSL Blacklist" hat ja eine Einstellung "Ignore MD5 signatures on root certificates (recommended)", die scheint aber nicht zu tun.

123456
Beiträge: 6126
Registriert: 08.03.2003 14:07:24

Re: neues (länger gültiges) CACert.org SSL-Zertifikat

Beitrag von 123456 » 02.04.2010 23:39:09

habe mal die cacert Mailingliste befragt. Folgender Link wurde mir genannt:
http://wiki.cacert.org/Roots/NewRootsTaskForce

und weiter folgendes dazu gesagt:
There is a new root creation process being designed
...
The short of it is, new roots are going to be prepared, and SHA1 or perhaps SHA2 are going to be used for them. However, the process requires a great deal of careful planning beforehand, which is not completely done; hopefully the creation ceremony will be able to take place around the middle of the year or so, but we'll see.
Also ist das gerade genauso wie es aussieht. Da andere Zertifizierungsstellen für ihre root Zertifikate sonst sha1 nutzen wirft das kein besonders gutes Licht auf cacert. Aber immerhin - sie arbeiten daran. Mitte des Sommers ist ja nur 2-3 Monate entfernt.

Antworten