Deutschsprachige CAcert Support Liste

[Denis Knauf <denis.knauf AT gmail.com>]

Hallo,

Es liefert schon eine bessere Sicherheit,  aber ein Angriffsvektor bleibt eben bestehen:  Bootstrapping.
HTTP-Spoofing ist übrigens bei Verschlüsselten verbindungen nicht möglich.

Dass alte Server und Browser weiterhin einer Unsicherheit ausgeliefert sind,  bleibt immer bestehen.  Man kann technisch keine Lösung entsickeln,  die nicht Änderungen technischer Art unnötig machen.
Aber zumindest ist diese Lösung für Server und Klient abwärtskompatibel.

Was ich nur noch nicht verstanden habe, ist,  wie will man das Zertifikatetauschen am Ende des Jahres ermöglichen?

Gruß
Denis

Am 19.11.2011 00:26 schrieb "Benedikt Heintel" <benedikt AT heintel.org>:
> ich sehe den Vorschlag kritisch, er liefert keine wirkliche Sicherheit.
> Es gibt zu viele Manipulationsmöglichkeiten:
> * HTTP-Header spoofing
> * Pinning kann Server unerreichbar machen
> * Webserver und Browser müssen das Verfahren unterstützen (keine
> Sicherheit für ältere Browser und Webserver
>
> Gruß
> Benedikt
>
>
> Am 16.11.2011 19:06, schrieb Stefan Bruening:
> > Tach auch,
> >
> > wie ist eure Meinung dazu?
> >
> > http://www.heise.de/security/meldung/Falsche-Zertifikate-Schutz-gegen-kuenftige-Diginotare-1380164.html
> >
>