[Talk-de] Neuling mit vielen Fragen.
Max Andre
telegnom.osm at googlemail.com
Di Feb 2 05:57:27 UTC 2010
Am 02.02.2010 01:40, schrieb Matthias Versen:
> Das Argument das Zertifikate richtig viel Geld kosten ist heutzutage
> nonsens da es kostenlose Zertifikate gibt.
>
>
Wo, außer bei CAcert gibt es gibt es kostenlose X.509 Zertifikate? Ich
kenne keine CA die dir die kosten signiert.
> Ich persönlich vertraue CaCert Zertifikaten nicht, aber das soll jeder
> selber entscheiden.
>
Ich glaube hier geht beim Thema Zertifikate eineiges durcheinander!
X.509 kommt hat ZWEI Funktionen. Zum einenen die Authentifizierung, also
um sicherzustellen, dass der Server am anderen Ende der Leitung auch
wirklich der ist, der er vorgibt zu sein. Zum anderen um die Daten auf
ihrer Reise durch die Weiten des Internets zu verschlüsseln, also
sicherzustellen das sie von niemand unberechtigten eingesehen werden können.
Für den ersten Fall brauche in unbedingt ein Zertifikat, das von einer
CA signiert ist, der man vertrauen kann. Ob das bei den in den Browsern
vorinstallierten root-Zertifikaten immer so der Fall ist, sei mal dahin
gestellt.
Im zweiten Fall, wenn ich die Daten "nur" verschlüsselt übertragen will,
aber dem vermeintlichen Empfänger blind vertraue, dann kann ist es
eigentlich egal, ob oder von welcher CA das Zertifikat signiert wurde.
Ich nutze lieber auch mal ein nicht (oder von CAcert) signiertes
Zertifikat als mein Passwort im Klartext zu übertragen. Es gibt
außreichend unsichere Netzwerke, in denen man sich nicht sicher sein
kann, dass Benutzernamen und Passwörter, die im Klartext vorbei kommen,
nicht mitgesnifft werden (26c3-Netzwerk, Hotel-Wlans, Uninetzwerke,
Schulnutze, usw...)
Noch ein Absatz zu CACert. Wieso das CACert Root-Zertifikat in den
Browsern nicht vorinstalliert ist, ist mir ein Rätsel! Thawte hatte auch
mal ein web-of-trust in dem sich User gegenseitig zertifizieren konnten.
Das hat zu 99,9% exakt so funktioniert wie das Web-of-Trust von Cacert,
nur das die Zertifikate dann von thawte signiert wurden, deren root
Zertifikat in nahzu jedem Browser vorhanden ist. thawte hat den Dienst
dann eingestellt, als sie gemerkt haben, dass sie sich damit selber das
Geschäft kaputt machen!
Grüße
Nax
Mehr Informationen über die Mailingliste Talk-de