[Talk-de] SSL-Zertifikate "mit" fehlender Trustcenter-Signatur

[Matthias Versen]

Ulf Möller wrote:

>> Damit hat FF3 genbau das erreicht, was die Entwickler wollten.
>
> Und die CAs und Browser-Hersteller verdienen kräftig daran.

Dieses Argument hört man immer wieder aber es wird nicht richtiger je 
häufiger man es wiederholt.

CAs: Mit den StartSSL Zertifikat für 0€ verdient sich die Firma dumm und 
dämlich
Browserhersteller: Mozilla kann jedem seinen Mitarbeiter eine Weltreise 
bezahlen durch die Einnahmen von den integrierten Root CAs die für 0€ 
integriert werden.

>> Früher wurden solche Warnungen einfach weggeklickt und MITM Attacken
>> waren damit erfolgreich.
>
> Wie viele erfolgreiche MITM Attacken gab es denn so?

Eine Zahl kann ich Dir nicht nennen aber einen solchen Fall gibt es z.b. 
in bugzilla.mozilla.org dokumentiert.

> Und wie viele der voreingestellten CAs in Asien oder Südamerika wissen,
> wie man einen echten deutschen Handelsregisterauszug von einem falschen
> unterscheidet?

Die Kriterien der aufnahme von Root-CAs sind etwas anderes und ich kann 
mich dazu nicht äußern. Die von Motilla geforderten Kriterien sind 
allerdings sehr umfangreich, inklusive einem externen Security Audit (an 
demm CACert übrigens zur Zeit scheitert).

Matthias