Skip to Content.
Sympa Menu

cacert-de - Re: CAcert Root-Zertifikate und MD5

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: CAcert Root-Zertifikate und MD5


Chronological Thread 
  • From: Benedikt Heintel <benedikt AT heintel.org>
  • To: cacert-de AT lists.cacert.org
  • Subject: Re: CAcert Root-Zertifikate und MD5
  • Date: Sun, 02 Jun 2013 17:44:41 +0200


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


Am 02.06.2013 17:12, schrieb Michael Nausch:
> Ahoi!
>
>
> Am 02.06.2013 12:30, schrieb Benedikt Heintel:
>
> > wir haben am Wochenende ein wenig recherchiert und herausgefunden,
> > dass neben Root-Zertifikaten mit MD5 noch viel schlimmere
> > Verfehlungen in der Wildnis zu beobachten sind, z.B. MD2, MD4.
>
> Kann gut sein, aber ich sähe es zielführender, wenn wir bei CA-Cert
> den Signatur-Algorithmus aktualisieren und nicht grad mit dem
> Zeigefinger auf andere zeigen. ;)
>

Das war nicht das Ziel, Ziel war es herauszufinden, was Apple mit den anderen Zertifikaten macht.
> > Könnte jemand mit einem Appel-Gerät mal prüfen, wie es um das
> > Banking-Zertifikat der DKB [1] steht. Verisign Inc. verwendet dort
> > PKCS #1 MD2 mit RSA-Verschlüsselung.
>
> Hab zwar grad kein Apple-Gerät vor mir, aber das Zertifikat kann man
> so auch testen:
>
>
> [a] Verisign Class 3 Public Primary Certification Authority - G5
>   [b] Verisign Class 3 Extended Validation SSL SGC CA
>     [c] banking.dbk.de

Die Kette bei mir sieht folgendermaßen aus:

[a] VeriSign Class 3 Public Primary Certification Authority
    [b] VeriSign Class 3 Public Primary Certification Authority - G5
        [c] VeriSign Class 3 Extended Validation SSL SGC CA
            [d] banking.dbk.de

Signaturalgo in [a] ist PKCS #1 MD2 mit RSA-Verschlüsselung

Interessant ist, dass dieses Zertifikat mit dem Browser als Trust-Ancor mitgeliefert wird. Wenn ich den Trust-Anker [a] lösche, ist er nach einem Neustart des Browsers wieder im Store. Werde das mal evaluieren.
>
> Die Kette von a, b und c hat folgende Signatur-Algorithmen verwendet:
> [a]     : PKCS #1 SHA-1 mit RSA-Verschlüsselung
>   [b]   : PKCS #1 SHA-1 mit RSA-Verschlüsselung
>     [c] : PKCS #1 SHA-1 mit RSA-Verschlüsselung
>
> Im Vergleich dazu mal das ganze bei www.tachtler.net
> [a]     : PKCS #1 CA Cert Signing Authority
>   [b]   : PKCS #1 CAcert Class 3 Root
>     [c] : PKCS #1 *.tachtler.net
>
> Die Kette von a, b und c hat folgende Signatur-Algorithmen verwendet:
> [a]     : PKCS #1 MD5 mit RSA-Verschlüsselung
>   [b]   : PKCS #1 PKCS #1 SHA-256 mit RSA-Verschlüsselung
>     [c] : PKCS #1 PKCS #1 SHA-1 mit RSA-Verschlüsselung
>
> Tja, ich gestehe schweren Herzens, ich selber hab zuer Absicherung
> meiner Dienste nunmehr ein Zertifikat von einer kommerziellen CA,
> damit meine Nutzer diese auch entsprechend nutzen können. Mein Glaube
> dass es bei CAcert gelingt hier die nötige Nachbesserung an den
> Signaturen herbeizuführen, ist leider etwas arg tief gesunken, wenn
> ich dazu mal das Thema Auditing betrachte.

Ja nicht aufgeben zu hoffen. ;)
>
>
> Servus
> Django


Servus
Benedikt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBAgAGBQJRq2hgAAoJEA1dv5z/e3cNV9gIAJv/gmX7Swi4joGahRqW6HG6
UzSloB/UBQk0lDRZ+geM1uJUc+7L0t4WBYBJRVRM2FCV9022KrtanfBFsTAyPhVu
/rnNa1yWRjNmVbBNnYS4pNmBf+mKv/KUiRx3ZB+L4TpJZXY7ACnOp4oyTols9RZL
LBPJHVO4RGMSOTWcRn0OatKtEBCgs5yZfL73zgsowGgC3ZnV5WOHh6TwtCeuOg/e
y0o8A5j4POl+yxhLH51GtSqIUfcA+Za8+UCGuZWQcHBC/W2ZwAKp+k+ujkcLblJg
3EqQ+O3TyYRyepBHtxsIYcb6ac+SoPdjM+fhkGNJpl3MSAaf9WN5hOyZ+5+Vi8M=
=V1TM
-----END PGP SIGNATURE-----

Attachment: smime.p7s
Description: S/MIME Kryptografische Unterschrift




Archive powered by MHonArc 2.6.16.

Top of Page