Subject: Deutschsprachige CAcert Support Liste
List archive
- From: Rolf Wald <rolf.wald AT lug-balista.de>
- To: cacert-de AT lists.cacert.org, Stephan Seitz <stse AT fsing.rootsland.net>
- Subject: Re: Neugkeiten von CAcert | Kommentar Thorsten
- Date: Tue, 11 Dec 2018 19:55:12 +0100
Hallo zusammen,
ich kann einigen Argumenten, die bisher vorgebracht wurden, nur bedingt zustimmen.
Zunächst einmal ist es richtig, dass es durch LE nicht mehr vorrangig um die https-Server-Authentifizierung geht. Dennoch gibt es Vorteile, die CAcert gegenüber einer eigenen CA hat.
Die Client-Authentifizierung ist für Logins auf Webseiten und weiterer Infrastruktur sehr angenehm. Wir verwenden diese Art der Authentifizierung und Anmeldung bei unserer LUG (LUG-Balista Hamburg e.V.) durchgängig, sowohl für Webauftritt und Vereins-WLan und -Ethernet sowie OpenVPN.
Deshalb sollte die Organisations-Assurance eher weiter ausgebaut werden.
Weitere Anmerkungen s.u.
Am 11.12.18 um 18:14 schrieb Stephan Seitz:
On Mo, Dez 10, 2018 at 11:10:59 +0100, Bernhard Fröhlich wrote:
Aber natürlich ist das nicht alles. CAcert bietet aber auch noch Client-Zertifikate, die hat LE meines Wissens nicht zu bieten. Zusammen
Ja, und wie unterscheiden sich Client-Zertifikate bei fehlender
CA-Unterstützung in Betriebssystem und Co. von Server-Zertifikaten?
Das sind zwei verschiedene Paar Schuhe. Der Weg vom Server zum Clienten wird durch LE abgedeckt, richtig. Aber der Weg von Clienten zum Server kann (und sollte in diesem Fall) andere Zertifikate nutzen. Es muss nur das Root-Zertifikat von CAcert auf dem Webserver hinterlegt werden. Es wird keine Vertrauenswürdigkeit hinterlegt oder abgefragt.
Die Anwendung, die das Client-Zertifikat überprüfen soll, benötigt die
CA. Gibt es die CA nicht standardmäßig dabei, muß sie überall
nachinstalliert werden. Das gilt für den Webserver, der das
Client-Zertifikat zur Anmeldung überprüfen soll, und für das
Mailprogramm, das die Signatur kontrolliert.
Das ist eine viel zu pauschale Aussage! Bei allen Logins auf Webservern hat der Betreiber die Hoheit darüber, wer sich anmelden darf und auf welche Weise dies zu erfolgen hat. Er wird auch nicht jeden zulassen, der ein Client-Zertifikat hat, dessen CA zu dem Kreis der "vertrauenswürdigen" CAs gehört.
Bei den E-Mails ist es im S/MIME Verfahren so, dass bei einer signierten E-Mail immer die komplette Zertifikatskette (Public-Cert und alle (auch Zwischen- CAs) mitgesendet wird. Mailprogramme wie Thunderbird speichern diese automatisch beim erstmaligen Öffnen der E-Mail. Es muss dann nur einmal die Vertrauenswürdigkeit, wenn man dies möchte, eingestellt werden.
Für die Sicherheit, dass die signierte E-Mail, nicht verändert wurde, hat diese Vertrauenseinstellung keine Auswirkung. Vertrauen spielt nur bei der Beurteilung ob die E-Mail auch tatsächlich von der angegebenen Person stammt eine Rolle.
Sind meine Clients zu weit verstreut (unterschiedliche Firmen oder
ähnliches), dann fällt CAcert weg, denn die müßten die CA überall
installieren und verteilen.
s.o.
Und in kleinen Umgebungen kann ich meine eigene CA aufmachen. Wenn ich
schon selber eine CA verteilen muß, dann ist es egal, welche.
Da muss ich widersprechen. Wer möchte auf die Infrastruktur, die CAcert vorhält verzichten und alles selber machen? Soll sich jeder auch noch einen Server hinstellen, der revoked Certs registriert und, wie bei CAcert OCSP, online Certs validieren kann?
Gruß Rolf
--
Mit freundlichen Grüßen (kind regards) Rolf Wald
LUG-Balista Hamburg e.V., Germany
c/o Bürgerhaus Barmbek
Lorichsstr. 28a
22307 Hamburg
http://www.lug-hamburg.de
No HTML please
S/MIME signed email preferred, encryption wanted
Attachment:
smime.p7s
Description: S/MIME Cryptographic Signature
- Re: Neugkeiten von CAcert | Kommentar Thorsten, (continued)
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Magnus Wagner, 12/10/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Harald Berninghaus, 12/10/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Andreas Boehlk, 12/10/2018
- Vertrauen in Zertifizierungsstellen (war: Re: Neugkeiten von CAcert | Kommentar Thorsten), Jörg Kastning, 12/11/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Andreas Boehlk, 12/10/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Bernhard Fröhlich, 12/10/2018
- Re: CAcert - Signieren, Viktor Kuespert, 12/11/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Stephan Seitz, 12/11/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Bernhard Fröhlich, 12/11/2018
- Re: Neugkeiten von CAcert | Anregung Ted, Etienne Ruedin (CAcert Inc.), 12/12/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Rolf Wald, 12/11/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Bernhard Fröhlich, 12/10/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Magnus Wagner, 12/10/2018
- Re: Neugkeiten von CAcert, Viktor Kuespert, 12/14/2018
- Re: Neugkeiten von CAcert, Magnus Wagner, 12/14/2018
- Re: Neugkeiten von CAcert, Karl-Heinz Gödderz, 12/14/2018
- Re: Neugkeiten von CAcert, Magnus Wagner, 12/14/2018
Archive powered by MHonArc 2.6.18.