[Postfixbuch-users] Sicherheitsproblem in OpenSSL Verschlüsselung

[Igor Sverkos]

Hallo,

nur um meine Kritik an StartCom hier zu präzisieren:
Deren Geschäftsmodell ist mir prinzipiell egal. Die verheimlichen
nichts. Wer sich also bevor er sich für ein in der Ausstellung
kostenfreies StartCom Class 1 Zertifikat entschieden hat nicht
informiert hat und somit nun überraschend feststellt, dass die aber
für's Revoken Geld verlangen (und solange ein bestehendes Zertifikat
nicht widerrufen wurde, gibt es von denen auch kein neues - in der
Ausstellung kostenfreies - Zertifikat), ist selber Schuld.

Aber: Die wollen, dass ich dieser CA vertraue (das StartCom
Root-Zertifikat ist ja in allen System soweit drinnen). Wie kann ich
das weiterhin tun, wenn ich jetzt weiß, dass es da draußen zahlreiche
Zertifikate gibt die eigentlich widerrufen gehören, worum sich der
ursprüngliche Zertifikatsbesitzer aber nicht mehr kümmert, weil er
nicht einsieht dafür zu zahlen?

Und hier übe ich dann eben schon Kritik an deren Geschäftsmodell, als
nicht-StartCom-Kunde: Ein wesentlicher Bestandteil dieses CA-Modells
(Web-of-Trust) ist es, dass Zertifikate eben zu widerrufen sind, wenn
deren Integrität in irgendeiner Form gefährdet ist. Das sie das bei
Class 1 Zertifikaten, die sie kostenfrei ausstellen, nur gegen Geld
tun, ist nun einmal für viele Leute eine Hürde. Damit gefährden sie
dann aber das gesamte Web-of-Trust-Modell weshalb ich mich frage,
weshalb ich denen noch vertrauen soll...


-- 
Ich Grüße,
Igor