Skip to Content.
Sympa Menu

cacert-de - Re: CAcert und firefox-3.0.12 (centos 5.3)

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: CAcert und firefox-3.0.12 (centos 5.3)


Chronological Thread 
  • From: Bernhard Froehlich <ted AT convey.de>
  • To: cacert-de AT lists.cacert.org
  • Subject: Re: CAcert und firefox-3.0.12 (centos 5.3)
  • Date: Thu, 30 Jul 2009 13:45:56 +0200

Michael Nausch schrieb:
HI,

mit Verwunderung hatte ich heute festgestellt, dass nach einem Firefox-Update das CAcert-Root-Certificat verschwunden war, ich musst dies manuell neu importieren.

Kann das jemand nachvollziehen und wenn ja erklären, warum dies so ist? IMHO sollte das Root-Zertifikat doch in möglichst alle Browser rein und nicht raus, oder?
Ich habe das Update noch nicht eingespielt, insofern kann ich das auch noch nicht nachvollziehen. Trotzdem mal ein bischen theoretische Geplapper dazu... ;)

IMHO sollten bei einem *Update* keine Stammzertifikate gelöscht werden, die der User explizit importiert hat. Wenn dem doch so ist würde ich das als Bug des Mozilla-Updates halten, vergleichbar damit, dass z.B. alle Bookmarks gelöscht werden.

Anderst schaut es natürlich bei einer Neu-Installation aus, oder wenn wegen des Updates neue Benutzerprofile angelegt werden (müssen?). Die neuen Benutzerprofile enthalten dann das Standard-CA-Bundle des Browsers, und da ist CAcert bei Mozilla halt immer noch nicht dabei.

Dass das Root-Zertifikat in möglichst viele Browser rein soll ist leider nur im Kreis der CAcert-User weitgehend unstrittig. Die Browser-Hersteller haben da manchmal andere Ansichten, was vermutlich auch damit zusammenhängt dass sie nur ungern verklagt werden würden wenn jemand mit CAcert-Zertifikaten Unsinn anstellen würde.
Darum verlangt zumindest die Mozilla-Foundation von jeder CA ein bestandenes "Audit" (das sehr stark vereinfacht aussagt dass CAcert sinnvoll arbeitet und Zertifikate nur für Leute ausstellt, die diese auch verwenden dürfen). Solche Audits sind aber auf kommerzielle Anbieter ausgelegt, die zum einen mal schnell ein paar zehntausend Euro locker machen können und bei denen es klare Zuständigkeiten sowie ein meist mehrköpfiges Team gibt, das sich Vollzeit nur mit dem Thema beschäftigt.
Damit wir bei CAcert leider nicht gesegnet, deshalb zieht sich das mit dem Audit auch immer wieder in die Länge (aktueller Stand siehe http://wiki.cacert.org/wiki/Audit).

MfG
Ted
;)

--
PGP Public Key Information
Download complete Key from http://www.convey.de/ted/tedkey_convey.asc
Key fingerprint = 31B0 E029 BCF9 6605 DAC1  B2E1 0CC8 70F4 7AFB 8D26


Attachment: smime.p7s
Description: S/MIME Cryptographic Signature




Archive powered by MHonArc 2.6.16.

Top of Page