Skip to Content.
Sympa Menu

cacert-de - Re: CAcert Root-Zertifikate und MD5

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: CAcert Root-Zertifikate und MD5


Chronological Thread 
  • From: Michael Nausch <michael AT nausch.org>
  • To: cacert-de AT lists.cacert.org
  • Subject: Re: CAcert Root-Zertifikate und MD5
  • Date: Sun, 02 Jun 2013 17:12:16 +0200

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Ahoi!


Am 02.06.2013 12:30, schrieb Benedikt Heintel:

> wir haben am Wochenende ein wenig recherchiert und herausgefunden,
> dass neben Root-Zertifikaten mit MD5 noch viel schlimmere
> Verfehlungen in der Wildnis zu beobachten sind, z.B. MD2, MD4.

Kann gut sein, aber ich sähe es zielführender, wenn wir bei CA-Cert
den Signatur-Algorithmus aktualisieren und nicht grad mit dem
Zeigefinger auf andere zeigen. ;)

> Könnte jemand mit einem Appel-Gerät mal prüfen, wie es um das
> Banking-Zertifikat der DKB [1] steht. Verisign Inc. verwendet dort
> PKCS #1 MD2 mit RSA-Verschlüsselung.

Hab zwar grad kein Apple-Gerät vor mir, aber das Zertifikat kann man
so auch testen:


[a] Verisign Class 3 Public Primary Certification Authority - G5
  [b] Verisign Class 3 Extended Validation SSL SGC CA
    [c] banking.dbk.de

Die Kette von a, b und c hat folgende Signatur-Algorithmen verwendet:
[a]     : PKCS #1 SHA-1 mit RSA-Verschlüsselung
  [b]   : PKCS #1 SHA-1 mit RSA-Verschlüsselung
    [c] : PKCS #1 SHA-1 mit RSA-Verschlüsselung

Im Vergleich dazu mal das ganze bei www.tachtler.net
[a]     : PKCS #1 CA Cert Signing Authority
  [b]   : PKCS #1 CAcert Class 3 Root
    [c] : PKCS #1 *.tachtler.net

Die Kette von a, b und c hat folgende Signatur-Algorithmen verwendet:
[a]     : PKCS #1 MD5 mit RSA-Verschlüsselung
  [b]   : PKCS #1 PKCS #1 SHA-256 mit RSA-Verschlüsselung
    [c] : PKCS #1 PKCS #1 SHA-1 mit RSA-Verschlüsselung

Tja, ich gestehe schweren Herzens, ich selber hab zuer Absicherung
meiner Dienste nunmehr ein Zertifikat von einer kommerziellen CA,
damit meine Nutzer diese auch entsprechend nutzen können. Mein Glaube
dass es bei CAcert gelingt hier die nötige Nachbesserung an den
Signaturen herbeizuführen, ist leider etwas arg tief gesunken, wenn
ich dazu mal das Thema Auditing betrachte.


Servus
Django
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.13 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iEYEARECAAYFAlGrYMQACgkQHwRx8SOEyEkzNACfS/hiHOeCt9cWB6ae7AXaHK8X
yNIAoK6fpoQWoo9RcWbxh2XeUQQnq7Tj
=/vxD
-----END PGP SIGNATURE-----



Archive powered by MHonArc 2.6.16.

Top of Page