Skip to Content.
Sympa Menu

cacert-de - Re: heise zu massentaugliche E-Mail-Verschlüsselung

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: heise zu massentaugliche E-Mail-Verschlüsselung


Chronological Thread 
  • From: Fabian Letzkus <letzkus AT donotconnect.de>
  • To: "cacert-de AT lists.cacert.org" <cacert-de AT lists.cacert.org>
  • Subject: Re: heise zu massentaugliche E-Mail-Verschlüsselung
  • Date: Mon, 23 Feb 2015 11:21:43 +0000
  • Accept-language: de-DE, en-US

Moin,

Am 23.02.2015 um 11:30 schrieb Matthias Bergt <m.bergt AT jpberlin.de>:

Hauptsache, die Adresszeile wird grün. Ob dahinter dann
40-Bit-Export-RC4 oder 64-Bit-Export-DES (jeweils mit MD5) stecken, ist
völlig egal. Ich verstehe auch nicht die Browser-Hersteller, die da
nicht zumindest eine dicke Warnmeldung machen - denn ein Zertifikat mit
MD5-Hash ist m.E. sogar weniger wert als ein selbstsigniertes (das kann
ich wenigstens einmal dauerhaft akzeptieren und bin dann geschützt, wenn
es echt war).

Afaik verbieten Mozilla Firefox [1], Chrome [2] und iOS [3] inzwischen
Zertifikate mit MD5 Signaturen. Root Zertifikate waren anfangs noch
ausgenommen, sollten aber inzwischen auch nicht mehr funktionieren.

Bis TLS 1.1 ist MD5 nur in xor-Kombination mit SHA-1 erlaubt oder als 
HMAC_MD5. Ab TLS 1.2 wird die PRF Funktion dagegen im Handshake
ausgehandelt. Auch hier sollte es also keine Probleme geben, wenn denn
Browserhersteller und Serverbtreiber endlich mal TLS 1.2 implementieren
würden…






Archive powered by MHonArc 2.6.18.

Top of Page