Subject: Deutschsprachige CAcert Support Liste
List archive
- From: Axel Hübl <axel.huebl AT web.de>
- To: Deutschsprachige CAcert Support Liste <cacert-de AT lists.cacert.org>
- Subject: Re: [CAcert-DE] MD5 im CACert Request
- Date: Fri, 20 Mar 2009 18:27:14 +0100
- List-archive: <https://lists.cacert.org/cgi-bin/mailman/private/cacert-de>
- List-id: Deutschsprachige CAcert Support Liste <cacert-de.lists.cacert.org>
- Openpgp: id=CFFCF3C7
Bernhard Froehlich schrieb:
> Axel Hübl schrieb:
>> Hallo CACert-ler,
>>
>>
>> ich teste gerade mit der FF-Erweiterung SSLBlacklist mein Zertifikat und
>> musste feststellen, dass ich eine Warnung erhalte, weil das
>> Ausstellerzertifikat mit md5 unterschrieben ist...
>>
>> Mein Class 3 Request wurde mit sha1 erstellt, aber das Rootzertifikat
>> scheint md5 zu nutzen. Nach den letzten Berichten der neuesten
>> Fortschritte gegen Zertifikate mit md5 macht mich das nicht gerade
>> zuversichtlich.
>>
>> Mit anderen Worten:
>> Hat md5 im CACert-Root seine Richtigkeit oder übersehe ich etwas?
>> Immerhin erhalte ich auf der CACert Seite selbst keine Meldung, obwohl
>> das Root ebenfalls md5 und das Site-Zertifikat sha1 nutzt. Bei mir ist
>> da natürlich noch ein Knotenpunkt mehr drin.
>>
> Die Nutzer-Zertifikate (zumindest meines) sind auch beim Class1 Root per
> SHA1 signiert (genau hinschauen, das ist nicht so einfach zu erkennen!).
> Das einzige wo MD5 noch vorkommen sollte ist bei der Selbstsignatur des
> Class1-Roots. Das ist technisch kein Problem, weil die Selbstsignatur ja
> eh nichts wert ist, egal ob MD5 oder ein anderer Hash-Algorithmus
> verwendet wird.
>
> Trotzdem ist das psychologisch schlecht, weil es den Leuten wesentlich
> einfacher zu vermitteln ist wenn man saget "MD5 ist böse" als wenn man
> sagt "MD5 ist böse, außer wenn...".
> Aber es sind ja eh schon neue Root-Zertifikate für CAcert generiert
> worden (mit den alten ist kein Reinkommen in Mozilla), d.h. es ist
> absehbar dass MD5 aus allen CAcert-Zertifikaten verschwinden wird.
>
> MfG
> Ted
> ;)
Hallo Ted,
danke erstmal.
btw: wann kommt das neue Root-Cert? Gibts einen Termin?
Und ist es dann vorteilhafter ein Class 3 oder Class 1 Cert zu nutzen
(wenn es in z.B. den Mozilla kommen sollte)?
Viele Grüße
Axel
Attachment:
smime.p7s
Description: S/MIME Cryptographic Signature
- [CAcert-DE] Assurer Training Events, Ulrich Schroeter, 03/20/2009
- Re: [CAcert-DE] Assurer Training Events, Bernhard Froehlich, 03/20/2009
- Re: [CAcert-DE] Assurer Training Events, Ulrich Schroeter, 03/20/2009
- Re: [CAcert-DE] Assurer Training Events, Ina Kupp, 03/20/2009
- Re: [CAcert-DE] Assurer Training Events, Ulrich Schroeter, 03/20/2009
- Re: [CAcert-DE] Assurer Training Events, Ina Kupp, 03/20/2009
- Re: [CAcert-DE] Assurer Training Events, Ulrich Schroeter, 03/20/2009
- [CAcert-DE] MD5 im CACert Request, Axel Hübl, 03/20/2009
- Re: [CAcert-DE] MD5 im CACert Request, Bernhard Froehlich, 03/20/2009
- Re: [CAcert-DE] MD5 im CACert Request, Axel Hübl, 03/20/2009
- Re: [CAcert-DE] MD5 im CACert Request, Michael Tänzer, 03/20/2009
- Re: [CAcert-DE] MD5 im CACert Request, Bernhard Froehlich, 03/20/2009
- Re: [CAcert-DE] Assurer Training Events, Bernhard Froehlich, 03/20/2009
Archive powered by MHonArc 2.6.16.