Skip to Content.
Sympa Menu

cacert-de - Re: [CAcert-DE] Zertifizierte Seite mit Kopie des CaCert certs?

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: [CAcert-DE] Zertifizierte Seite mit Kopie des CaCert certs?


Chronological Thread 
  • From: Bernhard Fröhlich <ted AT convey.de>
  • To: Deutschsprachige CAcert Support Liste <cacert-de AT lists.cacert.org>
  • Subject: Re: [CAcert-DE] Zertifizierte Seite mit Kopie des CaCert certs?
  • Date: Thu, 16 Oct 2008 22:11:45 +0200
  • List-archive: <https://lists.cacert.org/cgi-bin/mailman/private/cacert-de>
  • List-id: Deutschsprachige CAcert Support Liste <cacert-de.lists.cacert.org>

Axel G schrieb:
Hallo Leute!

Ich frag mich grad, wie man das Henne/Ei-Problem loesen kann, da ja das
cacert root cert nicht von Haus aus dabei ist.
Das muesst ich ja ueber ungesicherte Kanaele holen
und per man-in-the-middle koennt man dann beliebig cacert faken.

Mir sind 2 Dinge eingefallen:

1) wenn es wo ne Kopie vom root cert gibt und die website schon von was
inkludiertem signiert ist, koennt man sich sicher sein, das richtige cert zu
erwischen

2) wenn clientsysteme wie z.B. firefox oder windows die zertifikate
mitliefern, aber nicht als vollstaendige zertifikate akzeptieren waers auch
schon ziemlich gut.
ich kann ja mit den browser-warnungen leben, aber ich moecht, dass er
trotzdem ueberprueft, ob das server cert hier auch wirklich von cacert
unterschrieben wurde. mozilla etc. muessten dafuer ja cacert eigentlich
nicht wirklich vertrauen.

Hallo Axel,

leider wirst Du immer ein gewisses Henne/Ei-Problem haben, denn wer sagt Dir, dass die Zertifikate in Firefox korrekt sind? Oder die, die mit Windows ausgeliefert wurden? Und nur die Tatsache, dass Du das Root-Zertifikat von einer signierten Seite herunterladen kannst sagt Dir auch nicht, ob der Betreiber der Seite ein guter Mensch ist, dem man vertrauen kann. Oder ein zuverlässiger Mensch, der sein System gut genug absichert dass kein Böser ihm ein gefaktes Zertifikat unterjubeln kann. Die Vertrauenswürdigkeit des SSL-Zertifikats sagt leider so gut wie nichts über die Vertrauenswürdigkeit des Server-Betreibers aus...

Vermutlich ist tatsächlich die beste Variante das ausgedruckte Papier der CAP-Formulare zu Hilfe zu nehmen, da steht nämlich auf jedem der Fingerprint des Root-Zertifikats ausgedruckt drauf. Und zumindest bei mir sind die seit zweieinhalb Jahren immer dieselben. Über diesen Zeitraum wäre eine Unstimmigkeit garantiert mal aufgeflogen, und bedrucktes Papier ist (nachträglich) wirklich schwer zu manipulieren!

Aber falls Du tatsächlich der Meinung bist dass es besser ist die Prüfsummen mit einem "offiziell anerkannten" Zertifikat signiert anzubieten dann bitte schön:
Die SHA1-Prüfsumme des Class1-Roots ist 13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33

Diese Mail ist von einem Thawte-Zertifikat unterschrieben, das von den üblichen Browsern und Mailern anerkannt wird. Allerdings musst Du dich eventuell ein bischen anstrengen um die Verpackung der Mailingliste wieder loszuwerden. Alternativ kann ich Dir die Mail auch nochmal persönlich schicken.

Dann musst Du dir noch überlegen, ob Du *mir* trauen kannst. Was weißt Du alles von mir? Wir können uns gerne nächste Woche auf der Systems treffen, dann kannst Du dir persönlich einen Eindruck bilden... :-)


Aber nicht dass es falsch rüberkommt, deine Überlegungen haben schon ihre Berechtigung und ich will Dich auch nicht auf den Arm nehmen sondern nur auf Schwächen hinweisen. Wenn möglichst viele Leute den Fingerprint des Root-Zertifikats auf "sicheren" Servern veröffentlichen wird es immer unwahrscheinlicher dass sich jemand unbemerkt dazwischen schummeln kann. Allerdings bitte nicht das Zertifikat selber, da gibt es organisatorische und rechtliche Gründe warum es besser ist wenn man das von der CAcert-Seite runterladen muss.

MfG
Ted
;)

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature




Archive powered by MHonArc 2.6.16.

Top of Page