Skip to Content.
Sympa Menu

cacert-de - Re: CACert-Zertifikate untersignieren?

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: CACert-Zertifikate untersignieren?


Chronological Thread 
  • From: Andreas Bäß <ab AT it-sls.de>
  • To: cacert-de AT lists.cacert.org
  • Subject: Re: CACert-Zertifikate untersignieren?
  • Date: Tue, 10 Nov 2009 12:34:05 +0100

Hallo Bernhard,

Das zweite Problem ist, dass die Prozedur zum Ausstellen von Org-Client-Zertifikaten genauso läuft wie die von normalen Client-Zertifikaten, d.h. der OrgAdmin generiert Private Key und Zertifikat in seinem Browser, muss das als *.p12 exportieren und der "Antragsteller" muss es dann importieren. Für höhere Sicherheitsanforderungen ist das ein Problem da der OrgAdmin damit Zugriff auf den Private Key hat. Die Vorgehensweise mit einem Signing Request (CSR), wie bei den Server-Zertifiakten, wäre an dieser Stelle zumindest als Alternative sinnvoll, muss aber erst implementiert werden.
Aber, laut CCA sollten CAcert-Zertifikate ja eh nicht für hohe Sicherheitsanforderungen verwendet werden... :-\

wenn ich das höre, dann stapeln sich in mir Ideen für einen veränderten Prozess, bei dem es nicht notwendig ist, dass der Org-Admin den private Key in die Finger bekommt. Ich halte mich mit solchen Ideen aber zurück, weil es mir nicht gelungen ist durchzublicken wie der Sofwtareentwicklungsprozess bei CAcert funktionieren soll. Es gibt zwar ein Bug-System, und es scheint auch Leute zu geben die sich der Pflege der Systeme annehmen. Auf der anderen Seite lese ich aber von Patches die nicht eingesetzt werden, weil sie nicht getestet worden sind.

Das würde ich beispielsweise gerne machen, ich habe aber nicht herausbekommen wo es ein Testsystem gibt, dass wirklich ein Abbild der Produktion wäre (also einen aussagekräftigen Test ermöglicht). Weiterhin gibt es niemanden der die Prioritäten koordiniert, welche Änderungen in welcher Software getestet werden sollten. Würde ich auch gerne machen, aber ist es bei CAcert wirklich von den Anwendungs-Admins gewollt Tests an andere zu deligieren und selber damit einen Teil der Verantworttung abzugeben? Da bin ich mir höchst unsicher ...

Wenn diese beiden Probleme für euch lösbar/aktzeptabel sind dann wäre das wohl eine Lösung für euch.

Aus Sicht des Anwenders taugt das Zertifikat nicht mehr für die Verschlüsselung. Das wusste ich bisher nicht. Was spricht dagegen, dass der O-Admin Sub-Accounts für Anwender einrichtet, oder für jede Organisation ein API bereitgestellt werden kann wo jeder Anwender einer Organisation eigene CSRs einstellen kann, die erst einem O-Admin in einer Queue zur Freigabe vorgelegt werden, bevor CAcert sie signiert?
Ich meine außer der Arbeit den jetzigen Prozess zu ändern ;-)

Gruß
Andreas
--
Andreas Bäß Service Level Solutions    E-Mail : 
ab AT it-sls.de
Hermann-Steinhäuser-Straße 43-47       Telefon: +49 69 979 474 43
63065 Offenbach am Main                Fax    : +49 69 979 474 45
USt-Id-Nr.: DE 258560003               Mobil  : +49 170 7644541

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature




Archive powered by MHonArc 2.6.16.

Top of Page