Die SHA1-Prüfsumme des neuen bis Ende März 2012 gültigen Zertifikates lautet:
Code: Alles auswählen
b1 b3 27 b3 1e cb d7 26 35 14 87 1f 69 08 48 09 a5 13 b1 40neues (länger gültiges) CACert.org SSL-Zertifikat
-
feltel
- Webmaster
- Beiträge: 10368
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
neues (länger gültiges) CACert.org SSL-Zertifikat
Wie angekündigt habe ich fürs Forum ein neues CAcert.org-Zertifikat ausstellen lassen. Da es sich diesmal um ein "Class 3"-Zertikat handelt werdet ihr ggf. auch das entsprechende Root-Zertifikat von http://www.cacert.org/index.php?id=3 einspielen müssen.
Die SHA1-Prüfsumme des neuen bis Ende März 2012 gültigen Zertifikates lautet:
Die SHA1-Prüfsumme des neuen bis Ende März 2012 gültigen Zertifikates lautet:
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
-
mistersixt
- Beiträge: 6601
- Registriert: 24.09.2003 14:33:25
- Lizenz eigener Beiträge: GNU Free Documentation License
Re: neues (länger gültiges) CACert.org SSL-Zertifikat
Hast Du es endlich geschafft feltel 
- Gratu !
Gruss, mistersixt.
- Gratu !Gruss, mistersixt.
--
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE
-
xdanx
- Beiträge: 473
- Registriert: 15.11.2007 22:07:42
- Lizenz eigener Beiträge: GNU General Public License
Re: neues (länger gültiges) CACert.org SSL-Zertifikat
Mein Iceweasel Addon "SSL Blacklist" präsentiert mir seit dem Zertifikatswechsel folgende Warnmeldung:
A potentially compromised SSL certicitate has been detected
Access to the following URL may not be secure:
viewtopic.php?f=5&t=119430
A subordinate CA certificate has been signed using the MD5 algorithm.
It is recommended that you do not exchange sensitive data with this website.
-
feltel
- Webmaster
- Beiträge: 10368
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: neues (länger gültiges) CACert.org SSL-Zertifikat
Hmmm, den Zertifikatsrequest hab ich wie sonst auch immer erstellt. 
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Re: neues (länger gültiges) CACert.org SSL-Zertifikat
Seltsam, das 1. April Zertifikat ist definitiv "PKCS #1 MD5 With RSA Encryption" signiert.
CAcert sagt:
ich werd gerade nicht ganz schlau draus.
CAcert sagt:
aus: http://blog.cacert.org/2009/01/356.htmlCAcert has switched from MD5 to SHA-1 for certificate-issueing a few years ago, when the first research results were made public that indicated that such an attack will become feasible.
ich werd gerade nicht ganz schlau draus.
-
feltel
- Webmaster
- Beiträge: 10368
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: neues (länger gültiges) CACert.org SSL-Zertifikat
Code: Alles auswählen
openssl req -newkey rsa:2048 -nodes -keyout apache.key -out apache.csrdebianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Re: neues (länger gültiges) CACert.org SSL-Zertifikat
Hmmh, Kommando halb zurück.
ich habe mir den Zertifikatsbaum nochmal angesehen. Das root Zertifikat von Ca-cert ist md5 signiert, das df Zertifikat ist sha1 signiert.
ich habe bei mir jetzt mal alle alten df Zertifikate und df root Zertifikate (gabs ja mal) die ich finden konnte gelöscht, ausserdem habe ich das Class 3 root Zertifikat nochmal runtergeladen - und das ist md5 signiert (der Signaturalgorithmus ist md5RSA). Die Fehlermeldung scheint also daher (vom Class 3 root Zertifikat) zu kommen. Warum das root Zertifikat:
http://www.cacert.org/index.php?id=3
aber md5 signiert ist, ist mir etwas scheierhaft.
EDIT:
nach Sichtung von anderen CAcert zertifizierten Seiten scheint das Problem dort auch so aufzutreten.
EDIT2:
das FF Addon "SSL Blacklist" hat ja eine Einstellung "Ignore MD5 signatures on root certificates (recommended)", die scheint aber nicht zu tun.
ich habe mir den Zertifikatsbaum nochmal angesehen. Das root Zertifikat von Ca-cert ist md5 signiert, das df Zertifikat ist sha1 signiert.
ich habe bei mir jetzt mal alle alten df Zertifikate und df root Zertifikate (gabs ja mal) die ich finden konnte gelöscht, ausserdem habe ich das Class 3 root Zertifikat nochmal runtergeladen - und das ist md5 signiert (der Signaturalgorithmus ist md5RSA). Die Fehlermeldung scheint also daher (vom Class 3 root Zertifikat) zu kommen. Warum das root Zertifikat:
http://www.cacert.org/index.php?id=3
aber md5 signiert ist, ist mir etwas scheierhaft.
EDIT:
nach Sichtung von anderen CAcert zertifizierten Seiten scheint das Problem dort auch so aufzutreten.
EDIT2:
das FF Addon "SSL Blacklist" hat ja eine Einstellung "Ignore MD5 signatures on root certificates (recommended)", die scheint aber nicht zu tun.
Re: neues (länger gültiges) CACert.org SSL-Zertifikat
habe mal die cacert Mailingliste befragt. Folgender Link wurde mir genannt:
http://wiki.cacert.org/Roots/NewRootsTaskForce
und weiter folgendes dazu gesagt:
http://wiki.cacert.org/Roots/NewRootsTaskForce
und weiter folgendes dazu gesagt:
Also ist das gerade genauso wie es aussieht. Da andere Zertifizierungsstellen für ihre root Zertifikate sonst sha1 nutzen wirft das kein besonders gutes Licht auf cacert. Aber immerhin - sie arbeiten daran. Mitte des Sommers ist ja nur 2-3 Monate entfernt.There is a new root creation process being designed
...
The short of it is, new roots are going to be prepared, and SHA1 or perhaps SHA2 are going to be used for them. However, the process requires a great deal of careful planning beforehand, which is not completely done; hopefully the creation ceremony will be able to take place around the middle of the year or so, but we'll see.