[Postfixbuch-users] Verschlüsselte Verbindungen (TLS, IMAP-SSL POP-SSL)

Patrick Ben Koetter p at state-of-mind.de
Mi Okt 13 22:09:18 CEST 2004


* Heiner Lamprecht <heiner at heiner-lamprecht.net> [041013 21:57]:
> > Aber Achtung: Viele offizielle CAs sollen angeblich, ich habe das
> > nicht verifiziert, keine certs signieren, die solche
> > SubjectAlternativeNames beinhalten, weil - so wurde mir gegenüber
> > behauptet - ihnen damit Geld flöten geht. Wenn (!) dem so ist,
> > dann hilft da sicher nur nach einer brauchbaren CA suchen oder
> > seine eigene CA aufbauen.
> 
> Wäre es nicht eigentlich möglich, ähnlich zu dem von GPG bekannten 
> "Web-of-trust" eine Art Netzwerk von "Open-Source-CAs" aufzubauen?  
> Ich meine, es sollte doch möglich sein, dass sich ein paar gut 
> bekannte Organisationen (z.B. die FSF) zusammentun, um eine 
> CA-Policy aufzusetzen, nach der sie dann Zertifikate signieren.
> 
> Was denkt Ihr darüber?

Die Anforderungen, die an eine CA gestellt werden, sind AFAIK irrsinnig
hoch. In einem Dokument, das ich im Moment leider nicht finden kann, war
da von 2m dicken Mauern im 3ten Kellergeschoß die Rede hinter denen sich
dann die Server befanden, die die CA certs etc. beherbergen.

Für eine Verschlüsselung ist letztlich keine CA erforderlich. Die
braucht man nur für den Trust. Und da fangen die Problem an. Das DFN
hat, so Lutz Jänicke auf dem 1. Postfix Treffen, mal bei Netscape
und anderen angefragt was es kosten würde die CA chain des DFN mit in
die Standarddistribution von Netscape etc. aufzunehmen.

Sie sollen damals einen Wert von jenseits 500.000.- DM genannt haben.
Andere, so Lutz, hätten gleich gar nicht geantwortet.

Auf mich wirkt das wie ein Monopolspiel, das rechtlich noch keiner
angegangen ist. Stattdessen gibt es eben Ansätze private Ringe von CAs
aufzustellen. Aber wer soll all die CA certs verwalten?

Es gibt eine Organisation, die sowas erreichen will. Die Seite, die ich
dazu vor ca. 4 Monaten angesehen hatte, war von 1999. Soviel dazu...

Certs sind wichtig, certs sind gut. Der Prozeß eines zu bekommen ist
alles andere als kundenfreundlich. Versucht doch mal bei Verisign das CA
cert zu finden. ;)

p at rick











-- 
SMTP AUTH
Howto: <http://postfix.state-of-mind.de/patrick.koetter/smtpauth/>
Debug: <http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>




Mehr Informationen über die Mailingliste Postfixbuch-users