Skip to Content.
Sympa Menu

cacert-de - Re: [CAcert-DE] MD5 im CACert Request

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: [CAcert-DE] MD5 im CACert Request


Chronological Thread 
  • From: Axel Hübl <axel.huebl AT web.de>
  • To: Deutschsprachige CAcert Support Liste <cacert-de AT lists.cacert.org>
  • Subject: Re: [CAcert-DE] MD5 im CACert Request
  • Date: Fri, 20 Mar 2009 18:27:14 +0100
  • List-archive: <https://lists.cacert.org/cgi-bin/mailman/private/cacert-de>
  • List-id: Deutschsprachige CAcert Support Liste <cacert-de.lists.cacert.org>
  • Openpgp: id=CFFCF3C7

Bernhard Froehlich schrieb:
> Axel Hübl schrieb:
>> Hallo CACert-ler,
>>
>>
>> ich teste gerade mit der FF-Erweiterung SSLBlacklist mein Zertifikat und
>> musste feststellen, dass ich eine Warnung erhalte, weil das
>> Ausstellerzertifikat mit md5 unterschrieben ist...
>>
>> Mein Class 3 Request wurde mit sha1 erstellt, aber das Rootzertifikat
>> scheint md5 zu nutzen. Nach den letzten Berichten der neuesten
>> Fortschritte gegen Zertifikate mit md5 macht mich das nicht gerade
>> zuversichtlich.
>>
>> Mit anderen Worten:
>> Hat md5 im CACert-Root seine Richtigkeit oder übersehe ich etwas?
>> Immerhin erhalte ich auf der CACert Seite selbst keine Meldung, obwohl
>> das Root ebenfalls md5 und das Site-Zertifikat sha1 nutzt. Bei mir ist
>> da natürlich noch ein Knotenpunkt mehr drin.
>>   
> Die Nutzer-Zertifikate (zumindest meines) sind auch beim Class1 Root per
> SHA1 signiert (genau hinschauen, das ist nicht so einfach zu erkennen!).
> Das einzige wo MD5 noch vorkommen sollte ist bei der Selbstsignatur des
> Class1-Roots. Das ist technisch kein Problem, weil die Selbstsignatur ja
> eh nichts wert ist, egal ob MD5 oder ein anderer Hash-Algorithmus
> verwendet wird.
> 
> Trotzdem ist das psychologisch schlecht, weil es den Leuten wesentlich
> einfacher zu vermitteln ist wenn man saget "MD5 ist böse" als wenn man
> sagt "MD5 ist böse, außer wenn...".
> Aber es sind ja eh schon neue Root-Zertifikate für CAcert generiert
> worden (mit den alten ist kein Reinkommen in Mozilla), d.h. es ist
> absehbar dass MD5 aus allen CAcert-Zertifikaten verschwinden wird.
> 
> MfG
> Ted
> ;)

Hallo Ted,

danke erstmal.

btw: wann kommt das neue Root-Cert? Gibts einen Termin?
Und ist es dann vorteilhafter ein Class 3 oder Class 1 Cert zu nutzen
(wenn es in z.B. den Mozilla kommen sollte)?


Viele Grüße
Axel

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature




Archive powered by MHonArc 2.6.16.

Top of Page