Skip to Content.
Sympa Menu

cacert-de - Re: CAcert Root-Zertifikate und MD5

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: CAcert Root-Zertifikate und MD5


Chronological Thread 
  • From: Benedikt Heintel <benedikt AT heintel.org>
  • To: cacert-de AT lists.cacert.org
  • Subject: Re: CAcert Root-Zertifikate und MD5
  • Date: Sun, 02 Jun 2013 12:30:52 +0200

Hallo Liste,

wir haben am Wochenende ein wenig recherchiert und herausgefunden, dass
neben Root-Zertifikaten mit MD5 noch viel schlimmere Verfehlungen in der
Wildnis zu beobachten sind, z.B. MD2, MD4. Könnte jemand mit einem
Appel-Gerät mal prüfen, wie es um das Banking-Zertifikat der DKB [1]
steht. Verisign Inc. verwendet dort PKCS #1 MD2 mit RSA-Verschlüsselung.

Ich freue mich über Rückmeldungen

[1] https://banking.dkb.de/dkb/

Am 31.05.2013 17:12, schrieb Denis Knauf:
> Hallo,
>
> das ist ein gewaltiger Aufwand denke ich.  Alle Distributoren müssten
> das Zertifikat mit einspielen.
> Aber MD5 ist garnicht so extrem schlimm, wie alle behaupten. Noch
> nicht.  Aber SHA halt auch nur noch nicht.
> Abwarten bis der Nachfolger von SHA wirklich eine Option ist?
>
> Gruß
> Denis
>
> Am 31. Mai 2013 17:08 schrieb Michael Nausch 
> <michael AT nausch.org>:
>> HI!
>>
>> Am 31.05.2013 16:54, schrieb Benedikt Heintel:
>>
>>> Einige *Zertifikate* (insbesondere die CAcert Website selbst) hängen 
>>> natürlich direkt
>>> am Class 1, *vor allem  das Class 3*. Ich denke spätestens jetzt ist Zeit 
>>> New Root zu forcieren!
>> Tja so ist es nunmal, bei einer Zertifikatshirarchie. ;)
>>
>> Es kann der Safari am iPad nunmal nicht meinem Zertifikat *.nausch.org
>> vertrauen, da zwar dem ersten Glied in der Kette schon nicht das
>> Vertrauen ausgesprochen werden kann.
>>
>> Also bildlich gesprochen:
>> Root Class1
>>            Root Class3
>>                       *.nausch.org
>> ^^^^^^^^^^^
>>      +----------------------------- nix gut, da MD5 :(
>>
>>> ich denke spätestens jetzt ist Zeit New Root zu forcieren!
>> Oh ja, denn sonst kannste ein Ei drüber hauen und es bleibt nur der Weg
>> über eine kommerzielle CA. :(
>>
>> Also wo kann man anschieben oder ggf. mithelfen, damit die
>> Root-Zertifikate 'nen brauchbaren Signature Algorithm bekommt und somit
>> CAcert künftig und auf Dauer eine Alternative bleibt?
>>
>>
>> ttyl
>> Django
>> --
>> "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
>http://wetterstation-pliening.info
>http://dokuwiki.nausch.org
>http://wiki.piratenpartei.de/Benutzer:Django
>>


Attachment: smime.p7s
Description: S/MIME Kryptografische Unterschrift




Archive powered by MHonArc 2.6.16.

Top of Page