[Postfixbuch-users] Verschlüsselte Verbindungen (TLS, IMAP-SSL POP-SSL)

Heiner Lamprecht heiner at heiner-lamprecht.net
Do Okt 14 09:07:35 CEST 2004 

On Wednesday 13 October 2004 22:09, Patrick Ben Koetter wrote:
> * Heiner Lamprecht <heiner at heiner-lamprecht.net> [041013 21:57]:
> 
> > Was denkt Ihr darüber?
>
> Die Anforderungen, die an eine CA gestellt werden, sind AFAIK
> irrsinnig hoch. In einem Dokument, das ich im Moment leider nicht
> finden kann, war da von 2m dicken Mauern im 3ten Kellergeschoß
> die Rede hinter denen sich dann die Server befanden, die die CA
> certs etc. beherbergen.

Moment.  Es gibt keine Stelle, die Dir vorschreiben kann, wie Du als 
CA Deine certs schützen musst.  Mag sein, dass es einige CAs gibt, 
die das so machen, und es dann vor allem an die große Glocke hängen 
um zu zeigen, wie wichtig sie Sicherheit nehmen.

Wichtiger als die Dicke der Mauern wäre für mich aber erstmal die 
"Dicke" der Firewalls.

> Für eine Verschlüsselung ist letztlich keine CA erforderlich. Die
> braucht man nur für den Trust. Und da fangen die Problem an. Das
> DFN hat, so Lutz Jänicke auf dem 1. Postfix Treffen, mal bei
> Netscape und anderen angefragt was es kosten würde die CA chain
> des DFN mit in die Standarddistribution von Netscape etc.
> aufzunehmen.

Wobei ich zugeben muss, dass ich mit diesem Verhalten prinzipiell 
Probleme habe.  Denn was der Nutzer macht, ist, sein Vertrauen 
vollständig auf einen Softwarehersteller zu übertragen.  Schlimmer 
noch, ihm ist es gar nicht bewußt, wem er hier an welcher Stelle 
vertraut.  Eigentlich wäre es sehr viel sinnvoller, wenn die 
Browserhersteller gar keine certs mit verteilen.

> Sie sollen damals einen Wert von jenseits 500.000.- DM genannt
> haben. Andere, so Lutz, hätten gleich gar nicht geantwortet.

Nun, ich vermute, Konqueror wäre billiger ;-)

> Auf mich wirkt das wie ein Monopolspiel, das rechtlich noch
> keiner angegangen ist. 

Full ACK.

> Certs sind wichtig, certs sind gut. Der Prozeß eines zu bekommen
> ist alles andere als kundenfreundlich. Versucht doch mal bei
> Verisign das CA cert zu finden. ;)

"Muss ich ja gar nicht.  Ist ja schon im Browser."  Folge:  die 
Überprüfung wird entsprechend scher (s.o.).


    Heiner

-- 
     heiner at heiner-lamprecht dot net    GnuPG - Key: E05AEAFC
  Fingerprint:  257A DFBF 4977 4585 77A0  3509 973B 92AA E05A EAFC

Mehr Informationen über die Mailingliste Postfixbuch-users