[Talk-de] SSL Zertifikats- Vertrauen in OSM-Wochennotiz

Florian Lohoff f at zz.de
Sa Okt 4 11:19:43 UTC 2014


On Sat, Oct 04, 2014 at 12:31:27PM +0200, Holger Jeromin wrote:
> Hakuch <hakuch at posteo.de> Wrote in message:
> 
> > selbst unterschriebene Zertifikate sind schon in Ordnung, Hauptsache es
> > läuft verschlüsselt über ssl. Wahrscheinlich wird keiner es darauf
> > anlegen und da eine Man-in-the-Middle Atacke machen und ein falsches
> > Zertifikat vorhalten.
> 
> Nein. Selbst unterschriebene Zertifikate auf öffentlichen Seiten
>  haben zur Folge, dass Leute ohne entsprechendes Wissen lernen,
>  dass es ok und richtig ist eine SSL Warnung durch zu winken.
> 
> Daher sollte man so links hier nicht veröffentlichen.

Ansonsten bekommen sie beigebracht das die Auswahl des  Browsers über die CA Root Zertifikate
vertrauenswürdig ist und das die Mitarbeiter bei den CAs alle Vertrauenswürdig
sind.

Großer Bulshit. Es ist beliebig einfach zertifikate für google.com oder microsoft.com
zu bekommen. Im zweifelsfalle reicht eine gefälschter Auszug aus dem Handelsregister.

Und wenn das mal nicht klappt dann kapert man eine der Zertifizierungsstellen.

SSL Root Zertifikate sind eine der schlimmsten fehler der ganzen CryptoSSL/TLS veranstaltung
weil es die Vertrauenswürdigkeit auf andere verlagert. Bei einem Self-Signed
zertifikat kann ich jedes einzelne zertifikat PERSÖHNLICH akzeptieren oder
es lassen.

Beides ist kaputt.

Flo
PS: Bitte CACert unterstützen. Hier ist immer die PERSON entscheidend, nicht
ein zwefelhaftes Schriftstück aus der feder eine beliebigen institution.
-- 
Florian Lohoff                                                 f at zz.de
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 828 bytes
Beschreibung: Digital signature
URL         : <http://lists.openstreetmap.org/pipermail/talk-de/attachments/20141004/998ceee3/attachment.sig>


Mehr Informationen über die Mailingliste Talk-de