Skip to Content.
Sympa Menu

cacert-de - Re: Heise: Falsche Zertifikate: Schutz gegen künfti ge "Diginotare"

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: Heise: Falsche Zertifikate: Schutz gegen künfti ge "Diginotare"


Chronological Thread 
  • From: Denis Knauf <denis.knauf AT gmail.com>
  • To: cacert-de AT lists.cacert.org
  • Subject: Re: Heise: Falsche Zertifikate: Schutz gegen künfti ge "Diginotare"
  • Date: Sat, 19 Nov 2011 13:05:49 +0100
  • Authentication-results: lists.cacert.org; dkim=pass (1024-bit key) header.i= AT gmail.com; dkim-asp=none

Hallo,

Es liefert schon eine bessere Sicherheit,  aber ein Angriffsvektor bleibt eben bestehen:  Bootstrapping.
HTTP-Spoofing ist übrigens bei Verschlüsselten verbindungen nicht möglich.

Dass alte Server und Browser weiterhin einer Unsicherheit ausgeliefert sind,  bleibt immer bestehen.  Man kann technisch keine Lösung entsickeln,  die nicht Änderungen technischer Art unnötig machen.
Aber zumindest ist diese Lösung für Server und Klient abwärtskompatibel.

Was ich nur noch nicht verstanden habe, ist,  wie will man das Zertifikatetauschen am Ende des Jahres ermöglichen?

Gruß
Denis

Am 19.11.2011 00:26 schrieb "Benedikt Heintel" <benedikt AT heintel.org>:
> ich sehe den Vorschlag kritisch, er liefert keine wirkliche Sicherheit.
> Es gibt zu viele Manipulationsmöglichkeiten:
> * HTTP-Header spoofing
> * Pinning kann Server unerreichbar machen
> * Webserver und Browser müssen das Verfahren unterstützen (keine
> Sicherheit für ältere Browser und Webserver
>
> Gruß
> Benedikt
>
>
> Am 16.11.2011 19:06, schrieb Stefan Bruening:
> > Tach auch,
> >
> > wie ist eure Meinung dazu?
> >
> > http://www.heise.de/security/meldung/Falsche-Zertifikate-Schutz-gegen-kuenftige-Diginotare-1380164.html
> >
>




Archive powered by MHonArc 2.6.16.

Top of Page