[Talk-de] Neuling mit vielen Fragen.

Max Andre telegnom.osm at googlemail.com
Di Feb 2 05:57:27 UTC 2010


Am 02.02.2010 01:40, schrieb Matthias Versen:
> Das Argument das Zertifikate richtig viel Geld kosten ist heutzutage
> nonsens da es kostenlose Zertifikate gibt.
>
>    
Wo, außer bei CAcert gibt es gibt es kostenlose X.509 Zertifikate? Ich 
kenne keine CA die dir die kosten signiert.
> Ich persönlich vertraue CaCert Zertifikaten nicht, aber das soll jeder
> selber entscheiden.
>    
Ich glaube hier geht beim Thema Zertifikate eineiges durcheinander! 
X.509 kommt hat ZWEI Funktionen. Zum einenen die Authentifizierung, also 
um sicherzustellen, dass der Server am anderen Ende der Leitung auch 
wirklich der ist, der er vorgibt zu sein. Zum anderen um die Daten auf 
ihrer Reise durch die Weiten des Internets zu verschlüsseln, also 
sicherzustellen das sie von niemand unberechtigten eingesehen werden können.

Für den ersten Fall brauche in unbedingt ein Zertifikat, das von einer 
CA signiert ist, der man vertrauen kann. Ob das bei den in den Browsern 
vorinstallierten root-Zertifikaten immer so der Fall ist, sei mal dahin 
gestellt.

Im zweiten Fall, wenn ich die Daten "nur" verschlüsselt übertragen will, 
aber dem vermeintlichen Empfänger blind vertraue, dann kann ist es 
eigentlich egal, ob oder von welcher CA das Zertifikat signiert wurde.

Ich nutze lieber auch mal ein nicht (oder von CAcert) signiertes 
Zertifikat als mein Passwort im Klartext zu übertragen. Es gibt 
außreichend unsichere Netzwerke, in denen man sich nicht sicher sein 
kann, dass Benutzernamen und Passwörter, die im Klartext vorbei kommen, 
nicht mitgesnifft werden (26c3-Netzwerk, Hotel-Wlans, Uninetzwerke, 
Schulnutze, usw...)

Noch ein Absatz zu CACert. Wieso das CACert Root-Zertifikat in den 
Browsern nicht vorinstalliert ist, ist mir ein Rätsel! Thawte hatte auch 
mal ein web-of-trust in dem sich User gegenseitig zertifizieren konnten. 
Das hat zu 99,9% exakt so funktioniert wie das Web-of-Trust von Cacert, 
nur das die Zertifikate dann von thawte signiert wurden, deren root 
Zertifikat in nahzu jedem Browser vorhanden ist. thawte hat den Dienst 
dann eingestellt, als sie gemerkt haben, dass sie sich damit selber das 
Geschäft kaputt machen!

Grüße

Nax




Mehr Informationen über die Mailingliste Talk-de