Skip to Content.
Sympa Menu

cacert-de - Re: [CAcert-DE] Zertifizierte Seite mit Kopie des CaCert certs?

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: [CAcert-DE] Zertifizierte Seite mit Kopie des CaCert certs?


Chronological Thread 
  • From: "Denis Knauf" <denis.knauf AT gmail.com>
  • To: "Deutschsprachige CAcert Support Liste" <cacert-de AT lists.cacert.org>
  • Subject: Re: [CAcert-DE] Zertifizierte Seite mit Kopie des CaCert certs?
  • Date: Fri, 17 Oct 2008 13:10:15 +0200
  • List-archive: <https://lists.cacert.org/cgi-bin/mailman/private/cacert-de>
  • List-id: Deutschsprachige CAcert Support Liste <cacert-de.lists.cacert.org>

Hallo,

Am 17. Oktober 2008 11:25 schrieb Axel G 
<kamikaze+tsiltrecac AT iaeste.at>:
> On 2008-10-16 at 22:11:45 +0200, Bernhard Fröhlich wrote:
>> Axel G schrieb:
>> >...
>>...
>> leider wirst Du immer ein gewisses Henne/Ei-Problem haben, denn wer sagt
>> Dir, dass die Zertifikate in Firefox korrekt sind? Oder die, die mit
>> Windows ausgeliefert wurden?
> nichts, aber wenn mein OS/Browser manipuliert ist, ist es eh schon zu spaet
> fuer sicherheit...
> wenn die programme nicht manipuliert sind hab ich 'ne recht gute chance,
> dass die inkludierten certs korrekt sind; jedenfalls besser, als wenn ich
> versuch, per internet drauf zuzugreifen.
Du hast eine ganz schoen lange Kette an Fragen ausgelassen:

Traust Du CAcert? - Gehen wir mal davon aus, sonst waerst Du nicht
hier. Ich tuh es jedenfalls.

Traust Du Microsoft? / Traust Du Mozilla? - Also ersterem kann man
trauen, bei der Frage, ob die Zertifikate wirklich die richtigen sind
und nicht manipuliert, denn das ist ein groszes Unternehmen, welches
bekannt ist und es sich ganz sicher nicht leisten kann, bei den
Zertifikaten etwas zu manipulieren. Davon bist du ohne es zu
hinterfragen, anscheinend ausgegangen. Nur M$ wird nie die
CAcert-Zertifikate mit ausliefern.
Bei Mozilla ist das aehnlich, wenn auch nicht gleich. Da kommt die
Idiologie noch hinzu. Sie stehen menschlich wahrscheinlich auch
dahinter.
Dennoch wuerde ich mich das IMMER fragen.

Kannst Du der Quelle trauen, von der Du die Software bezogen hast? -
Wer sagt denn, dass die CD nicht manipuliert wurde, auf der Deine
Software war.
Firefox hast du sicherlich heruntergeladen und (K)Ubuntu/Debian/...
GNU/Linux ebenso.
War das eine gesicherte Verbindung?
Oder hast du ueberprueft, ob der Fingerprint der Dateien uebereinstimmte?
War der Fingerprint ueber eine sichere Verbinung zu Dir uebertragen worden?

Kannst Du dem Hersteller der Software UND der Hardware trauen? - Wer
sagt denn, dass diese nicht vielleicht so manipuliert wurde, dass
immer ein gruener Punkt erscheint? Vielleicht hat der
Monitorhersteller eine Erkennung eingebaut, die die Adressleister
erkennt und bei bestimmten Adressen automatisch die Farbe falsch
darstellt?

> ...
>> Aber falls Du tatsächlich der Meinung bist dass es besser ist die
>> Prüfsummen mit einem "offiziell anerkannten" Zertifikat signiert
>> anzubieten dann bitte schön:
>> Die SHA1-Prüfsumme des Class1-Roots ist
>> 13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
> danke, je mehr unterschiedliche quellen ueber mehr unterschiedliche kanaele
> um so besser.
> ...
>> Wenn möglichst viele Leute den
>> Fingerprint des Root-Zertifikats auf "sicheren" Servern veröffentlichen
>> wird es immer unwahrscheinlicher dass sich jemand unbemerkt dazwischen
>> schummeln kann.
>>...
> Was ich gern haett, um automatisch verfremdung zu ueberpruefen:
> * Ein Programm, das ueberprueft, ob webseiten ueber unterschiedliche Kanaele
> die gleiche Seite ausliefern (z.B. auch ueber server in unterschiedlichen
> laendern), um eingriffe in den transport zu bemerken
> * Ein Programm, das regelmaessig wichtige seiten ueberprueft (z.B.
> cacert-cert) und per email warnt, falls nicht der erwartete wert geliefert
> wird
Dazu hab ich irgendwo mal etwas zu gelesen. Bei Heise war mal ein
Artikel ueber eine Amerikanische Universitaet, die genau so etwas
erforscht haben und eine Software wohl rausbringen. Aber die
Herangehensweise war meines Wissens die, dass Zeitliche Veraenderungen
des Zertifikats versucht werden festzustellen. Und das ganze sollte
Zertifizierungsstellen sogar ueberfluessig machen. Leider find ich den
Artikel nicht mehr. Duerfte August oder September gewesen sein, falls
jemand danach sucht.

Grusz
Denis



Archive powered by MHonArc 2.6.16.

Top of Page