Subject: Deutschsprachige CAcert Support Liste
List archive
- From: Michael Nausch <michael AT nausch.org>
- To: cacert-de AT lists.cacert.org
- Subject: Re: CAcert Root-Zertifikate und MD5
- Date: Sun, 02 Jun 2013 17:12:16 +0200
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Ahoi!
Am 02.06.2013 12:30, schrieb Benedikt Heintel:
> wir haben am Wochenende ein wenig recherchiert und herausgefunden,
> dass neben Root-Zertifikaten mit MD5 noch viel schlimmere
> Verfehlungen in der Wildnis zu beobachten sind, z.B. MD2, MD4.
Kann gut sein, aber ich sähe es zielführender, wenn wir bei CA-Cert
den Signatur-Algorithmus aktualisieren und nicht grad mit dem
Zeigefinger auf andere zeigen. ;)
> Könnte jemand mit einem Appel-Gerät mal prüfen, wie es um das
> Banking-Zertifikat der DKB [1] steht. Verisign Inc. verwendet dort
> PKCS #1 MD2 mit RSA-Verschlüsselung.
Hab zwar grad kein Apple-Gerät vor mir, aber das Zertifikat kann man
so auch testen:
[a] Verisign Class 3 Public Primary Certification Authority - G5
[b] Verisign Class 3 Extended Validation SSL SGC CA
[c] banking.dbk.de
Die Kette von a, b und c hat folgende Signatur-Algorithmen verwendet:
[a] : PKCS #1 SHA-1 mit RSA-Verschlüsselung
[b] : PKCS #1 SHA-1 mit RSA-Verschlüsselung
[c] : PKCS #1 SHA-1 mit RSA-Verschlüsselung
Im Vergleich dazu mal das ganze bei www.tachtler.net
[a] : PKCS #1 CA Cert Signing Authority
[b] : PKCS #1 CAcert Class 3 Root
[c] : PKCS #1 *.tachtler.net
Die Kette von a, b und c hat folgende Signatur-Algorithmen verwendet:
[a] : PKCS #1 MD5 mit RSA-Verschlüsselung
[b] : PKCS #1 PKCS #1 SHA-256 mit RSA-Verschlüsselung
[c] : PKCS #1 PKCS #1 SHA-1 mit RSA-Verschlüsselung
Tja, ich gestehe schweren Herzens, ich selber hab zuer Absicherung
meiner Dienste nunmehr ein Zertifikat von einer kommerziellen CA,
damit meine Nutzer diese auch entsprechend nutzen können. Mein Glaube
dass es bei CAcert gelingt hier die nötige Nachbesserung an den
Signaturen herbeizuführen, ist leider etwas arg tief gesunken, wenn
ich dazu mal das Thema Auditing betrachte.
Servus
Django
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.13 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iEYEARECAAYFAlGrYMQACgkQHwRx8SOEyEkzNACfS/hiHOeCt9cWB6ae7AXaHK8X
yNIAoK6fpoQWoo9RcWbxh2XeUQQnq7Tj
=/vxD
-----END PGP SIGNATURE-----
- Re: CAcert Root-Zertifikate und MD5, Benedikt Heintel, 06/02/2013
- Re: CAcert Root-Zertifikate und MD5, Jens Erat, 06/02/2013
- Re: CAcert Root-Zertifikate und MD5, Michael Nausch, 06/02/2013
- Re: CAcert Root-Zertifikate und MD5, Benedikt Heintel, 06/02/2013
Archive powered by MHonArc 2.6.16.