Subject: Deutschsprachige CAcert Support Liste
List archive
Vertrauen in Zertifizierungsstellen (war: Re: Neugkeiten von CAcert | Kommentar Thorsten)
Chronological Thread
- From: Jörg Kastning <joerg.kastning AT my-it-brain.de>
- To: cacert-de AT lists.cacert.org
- Subject: Vertrauen in Zertifizierungsstellen (war: Re: Neugkeiten von CAcert | Kommentar Thorsten)
- Date: Tue, 11 Dec 2018 21:34:27 +0100
- Autocrypt: addr=joerg.kastning AT my-it-brain.de; prefer-encrypt=mutual; keydata= xsFNBFOSFdMBEADdJMQpoS5nSYNSbUpDwkRszyH8+VqsbLbpwtkLq3GhRa3U/NWoxpvBwIJG gE94mm/ifDsPiyD+UPMcWEpNQiWvqvq1ovWcNK99kp/Kn6ObMMMfRlvTHIVyPXmf5+csXEIw hQYlXf5iFTMQVDgxElJ731aLOyWfdAweaooUv5iZVUuoowDtUFEvbn4DMQ2LOXUDH2EOoLV8 3VuAYDU8mQQRD+FSzABNrC5uXHotHA809CH29kST7P52eioycZEdRMFtle8laPmcdpKdWH8f 7qcxVIXY9P9vKpxPG+7sASALMEakHku8zazSFuwPmmD7ogMds92GHSC+sCCMa3W0jF65QLyD tFuG62O6vOAtTl853OLMVn+8aCNMn4GKHcIJUPEE+ucmIntDDL7SdTdIQXqujuvqPx2RcSsZ HfGFmmMWa5Fj1kd+qQ5oCm7PE6r/vwOy56k0tAGY85ehmZkQSFVEX2Jqnon5misInBzT4kh0 dlI0OLWJRPGAp9KdQlNOnJfJ3kkN1CWfLPv6j71tQGhAgdbPd6FnCcBfCw9jEEGM1U3VRzAS oNG3tppXNz8iUCYCTl8TUFs19ugTk0zJESKkTGsq3mZEKoZvu0TlmKlssSqHYlqbgBmZr4QK /NGKj4YtDX7bguXvz2Rj7eW7rWccAEfLj3+onfVw1reSiGogoQARAQABzS5Kb2VyZyBLYXN0 bmluZyA8am9lcmcua2FzdG5pbmdAbXktaXQtYnJhaW4uZGU+wsGBBBMBAgArAhsDBQkJZgGA BgsJCAcDAgYVCAIJCgsEFgIDAQIeAQIXgAUCVfXN2AIZAQAKCRBV4oP7ejAuMCA3D/4qI3xL SutPG1g2GLvZIU1oSBRJOJkiJh9iuSmBp/Gw7upTemoDBSCkoK6kwSaVsx92xJc3UOZnrILx pObdslidNgetgNRd5u1uwOcv1AhFespXqAA6ERGNUAWAumJlEGTsKLCvrHhpbbDMQOg/u+da QvRNlxnIaxQJxLEiYv0CQTJobfVtTmHFnmy/NUP9rUdlNITPsXbbGcJs37OI1nhVtT7SSVaX oVQTr06tjQ95iHG4jZSaJjlM798tkiHBvHBnG/zAT4E1hpDCP+YkVXRvT/7wkVUTLeMRM125 Ap1/Wjp1WC2o2sCNChJpthaeWQ1CTlhK0Mm2cVi1OIxI+IORfZqrk39LQpBa+hHLpqgy6Js9 uGZjs6+sojCEoG5g/yudx1LG2FM/7WlZpu+5uMpPsAzwBz1iOSM37v4hbJQ1nAl7NJioJfOV aPRMWu2ZlgPvFHLHfWqfEDrQpidf8uwlg5he4gH3l0+vMKVZsW2+QbnDZo6F0XZTy+OnJBWw 28xLpknaHsjwZTlImtt/WpM34lM04bWNi0+OVD6NBgbAAUVbm8CYiI55SAkDiXPTD9a1hlwx SvQIt3DpwybHRSbtqkHvZzHnl2b7Q0/+qCrKfzUJaj9rYmpB9dB+xXJxy4lRedSg/fI3Nz80 gsZM8nONF/5y6fIPK5UOPACPr/GOas7BTQRTkhXTARAA2PK1rRpHOKb1hSkTsTZyrU303qeE c4zXr0OKpqGU4ZbF+zmVO0qNBL/HxQynNMqBevsfwtuuR+GXgsMJODgpqX0kYP2xuwAgOvwq cN4CkJCvc2ZXNb1y7gnxnt67H1etfTNQZz1lTavm0DGk/5RGWf/9tcboe1XOMTTNEEsuke4p LnXtHwLbE1efM8HHkUVK0uicJ7F+1K3iMVHluIdAxmLBwhGmWhfPgTdJ6Hvro1X+XCn9fkj5 ZaM0Vo9MLf1ucanuq18U4qCqEIotUj05L+ew0+hCeHqr3NMPGd5+dxdOzKesODLvVPYFYktv pzuPNokgY+dqzT0ZJ458Jbm/TpuEPFyvDo8IoCwvzF4gvQ3ZiDf68FH5rPnZKd9GynG6bfqS 7ikca1KtGuko/vRzL67IPJSUoCjvISdAhFA1p5WyYbk74CtYrn4kJxzZiuzguXKqlm5fQF/u UmvE8GNKhcpwSXgzBK7ZKzJ4+qP+fkVUeglHwHCIw7r9MIWhhPsEfNKJ0ZiYWIxuvDpbhgiQ ZwMz2tmU4poTm8A1V0p/JbljhGSVsG9unQyDMf7WOdXESvaI3ksWN4i+5S3A625leK83y7bJ BwJ+X3XBMY5NDYFXVGO88swFhUxsQ4dSsLFFSp6LBhTWdyVbCYhQwipsJmafjCxjT6nqaJq8 sAOyzjEAEQEAAcLBZQQYAQIADwUCU5IV0wIbDAUJCWYBgAAKCRBV4oP7ejAuMNdRD/0eypLm wnunAsMO05eh3v6McAkjjgqmzV+/9hzUo7wW9g9I9DarVFp1UIQi5bCr0XvTQnKS+PsobBox 38Mu/91ZfuKFY3dXEx4oPJ/c3jxLzKmL4058duvxV7DZebkXWsQJ2qzxFXPaTrvGJIboy3SE qxqMkDE2GnWfrDyUzHX7j8qYteudrZrL3k8sjzV4X/edSMeVPROZbZm0c4pvjZ6JJ+/naWG/ 8+k7ZMlUDv/Vmue6h+RjPtl5pb4V/wXQKYNFQMuHB3m2dXy0kw79eGBSnKlIiTqCw731TG8Q YVxRw+y6WSr1kHzf+CW3+1H1Cldj2kq0VtTUEmZ/kGPewWn54+EdiMCokQsG6hCX4SZ55Oz1 O4DF3GS0BWyR8WzeXIL8miR810slygLpmHPRc314l8z1RJQ/XTxkdMDT8+SP/IZNZqrjHP+K CAvj3ncnGRCrFLPz9fZgpy/1UJu5TAhM3XwtYYZlHSHA5odX+gyyn3iPOUUPXOXkk0j5uqSC gGVjtHYE7gmQg4OXcucdhc0N+jwsJsFuAr6yLis56PBkOlFne1WjN1sWvzjlTgxJHIb2I9+4 9av7oh0UvsPt1Ywdk+lRA/RLC/wq7mtBUq6omer4Vw8Nr9Bi9KYW7vHycDGXKIHccm4m/zSH kKnA4aKKcdhMx8CaZvtfnpx+DocGEQ==
- Openpgp: preference=signencrypt
Am 11.12.18 um 00:51 schrieb Andreas Boehlk:
> Mach Dir mal den Spaß und nimm aus deinem Browser alle Zertifikate raus,
> außer diejenigen, denen Du wirklich vertraust. Danach grenzt das Surfen
> wirklich an Arbeit, öffnet einem aber die Augen, wie verletzlich dieses
> System ist.
In meinen Augen ist dieses System nicht nur verletzlich, es ist kaputt.
Mein Browser vertraut den Zertifikaten, deren Kette er zu einem
CA-Root-Zertifikat in seinem Zertifikatsspeicher zurückverfolgen kann.
Ich persönliche vertraue diesen Zertifizierungsstellen so weit, wie ich
ein Klavier werfen kann (und das ist nicht sehr weit).
Mein Vertrauen in CAcert ist jedoch nicht größer als bspw. in Let's
Encrypt. Das liegt daran, dass ich die meisten von euch genausowenig
kenne, wie die Mitarbeiter und Prozesse bei Let's Encrypt oder
irgendeiner anderen CA.
Vertrauen tue ich nur Personen, die ich persönlich kenne. Personen denen
diese wiederum vertrauen, vertraue ich ggf. nur noch eingeschränkt, wenn
überhaupt. Vertrauen ist also bestenfalls symmetrisch, nicht jedoch
transitiv.
Bezogen auf die Verbindung Client <-> TLS-Webserver bedeutet dies, dass
meine Daten zwar auf dem Übertragungsweg geschützt sind, ob ich mit der
richtigen Gegenstelle verbunden bin, steht jedoch auf einem ganz anderen
Blatt. Und während uns Interessierten noch Mittel und Wege offen stehen,
dieses Problem zu mitigieren, ist der normale Anwender hoffnungslos
verloren.
Selbstverständlich existieren hier bereits technische Lösungen wie z.B.
HTTP Public Key Pinning (RFC 7469) oder TLSA (RFC 7671 und RFC 7673),
doch sind diese Techniken kompliziert in der Implementierung und bisher
nur sehr wenig verbreitet.
Gleichzeitig halte ich CAcert für eine wichtige Einrichtung im Bereich
der Internet-PKI. CAcert hat mir vor Jahren einen tieferen Einstieg in
die Thematik X.509-Zertifikate und PKI ermöglicht. Auch heute nutze ich
diese CA noch für Testumgebungen, in Workshops und zu Schulungszwecken.
Viele Grüße
Jörg
--
E-Mail:
joerg.kastning AT my-it-brain.de
Twitter: https://twitter.com/JoergKastning
Internet: https://www.my-it-brain.de
OpenPGP-ID: 7A302E30
OpenPGP-Fingerabdruck:
2026 DF56 89B6 F79A E776 B15B 55E2 83FB 7A30 2E30
Attachment:
signature.asc
Description: OpenPGP digital signature
- Re: Neugkeiten von CAcert, (continued)
- Re: Neugkeiten von CAcert, Andreas Krueger, 12/10/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Viktor Kuespert, 12/10/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Andreas Boehlk, 12/10/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Frank Altpeter, 12/10/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Mike Smart, 12/10/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Magnus Wagner, 12/10/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Jörg Kastning, 12/10/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Magnus Wagner, 12/10/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Harald Berninghaus, 12/10/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Andreas Boehlk, 12/10/2018
- Vertrauen in Zertifizierungsstellen (war: Re: Neugkeiten von CAcert | Kommentar Thorsten), Jörg Kastning, 12/11/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Magnus Wagner, 12/10/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Jörg Kastning, 12/10/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Andreas Boehlk, 12/10/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Bernhard Fröhlich, 12/10/2018
- Re: CAcert - Signieren, Viktor Kuespert, 12/11/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Stephan Seitz, 12/11/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Bernhard Fröhlich, 12/11/2018
- Re: Neugkeiten von CAcert | Anregung Ted, Etienne Ruedin (CAcert Inc.), 12/12/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Rolf Wald, 12/11/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Bernhard Fröhlich, 12/10/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Frank Altpeter, 12/10/2018
- Re: Neugkeiten von CAcert | Kommentar Thorsten, Andreas Boehlk, 12/10/2018
- Re: Neugkeiten von CAcert -- Antwort an Thorsten, Etienne Ruedin (CAcert Inc.), 12/12/2018
- Re: Neugkeiten von CAcert, Viktor Kuespert, 12/14/2018
- Re: Neugkeiten von CAcert, Magnus Wagner, 12/14/2018
- Re: Neugkeiten von CAcert, Viktor Kuespert, 12/14/2018
Archive powered by MHonArc 2.6.18.