Skip to Content.
Sympa Menu

cacert-de - Re: [CAcert-DE] MD5 im CACert Request

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: [CAcert-DE] MD5 im CACert Request


Chronological Thread 
  • From: Michael Tänzer <NEOatNHNG AT users.sourceforge.net>
  • To: Deutschsprachige CAcert Support Liste <cacert-de AT lists.cacert.org>
  • Subject: Re: [CAcert-DE] MD5 im CACert Request
  • Date: Fri, 20 Mar 2009 21:47:12 +0100
  • Authentication-results: lists.cacert.org; dkim=pass (1024-bit key) header.i= AT googlemail.com; dkim-asp=none
  • List-archive: <https://lists.cacert.org/cgi-bin/mailman/private/cacert-de>
  • List-id: Deutschsprachige CAcert Support Liste <cacert-de.lists.cacert.org>
  • Openpgp: id=9940BEF1

Hi Ted,

Bernhard Froehlich schrieb:
> Die Nutzer-Zertifikate (zumindest meines) sind auch beim Class1 Root per
> SHA1 signiert (genau hinschauen, das ist nicht so einfach zu erkennen!).
> Das einzige wo MD5 noch vorkommen sollte ist bei der Selbstsignatur des
> Class1-Roots. Das ist technisch kein Problem, weil die Selbstsignatur ja
> eh nichts wert ist, egal ob MD5 oder ein anderer Hash-Algorithmus
> verwendet wird.
> 

Das ist leider nicht ganz richtig, auch das Class 3 Zertifikat ist per
MD5 vom Class 1 unterschrieben, darum meckert SSLBlacklist auch (es
lässt sich dort einstellen MD5 in selbstsignaturen zu ignorieren
(default) - allgemein sehr empfehlenswertes FF-Addon). Hat man das Class
3 im Browser installiert und besucht man eine Seite die ein vom Class 3
signiertes Zertifikat benutzt ist alles in Ordnung weil in der trust
chain kein MD5 vorkommt. Hat man jedoch das Class 1 Zertifikat
installiert kommt es zur Fehlermeldung weil:

Class1 --MD5-> Class3 --SHA1-> Server
  ^
  |
trust anchor

> Trotzdem ist das psychologisch schlecht, weil es den Leuten wesentlich
> einfacher zu vermitteln ist wenn man saget "MD5 ist böse" als wenn man
> sagt "MD5 ist böse, außer wenn...".
ACK

> Aber es sind ja eh schon neue Root-Zertifikate für CAcert generiert
> worden (mit den alten ist kein Reinkommen in Mozilla), d.h. es ist
> absehbar dass MD5 aus allen CAcert-Zertifikaten verschwinden wird.

Meines Erachtens sollte die Umstellung sobald als möglich erfolgen, auch
um oben beschriebenen Umstand zu beheben.

Was mir außerdem aufgefallen ist, warum benutzen wir auf der offiziellen
CAcert Seite ein Class1 Zertifikat? Für Leute die aus Sicherheitsgründen
nur das Class3 installiert haben (sichere Teilmenge etc.) bekommen dann
eine Fehlermeldung, dass das Zertifikat nicht validiert werden kann.

Viele Grüße
Michael

Attachment: signature.asc
Description: OpenPGP digital signature




Archive powered by MHonArc 2.6.16.

Top of Page