[Postfixbuch-users] Sicherheitsproblem in OpenSSL Verschlüsselung
Patrick Ben Koetter
p at sys4.de
So Apr 13 10:09:55 CEST 2014
* Christian Felsing <postfixbuch-users at listen.jpberlin.de>:
> Hallo Igor,
>
> Am 10.04.2014 16:52, schrieb Igor Sverkos:
> > Aber: Die wollen, dass ich dieser CA vertraue (das StartCom
> > Root-Zertifikat ist ja in allen System soweit drinnen). Wie kann ich
> > das weiterhin tun, wenn ich jetzt weiß, dass es da draußen zahlreiche
> > Zertifikate gibt die eigentlich widerrufen gehören, worum sich der
> > ursprüngliche Zertifikatsbesitzer aber nicht mehr kümmert, weil er
> > nicht einsieht dafür zu zahlen?
>
> wenn Du das als Kriterium nehmen willst, dann kannst Du keiner CA mehr
> trauen. Viele Leute wissen gerade so einmal, wie man ein Zertifikat
> generiert und installiert, aber wie ein Revoke funktioniert, wissen
> viele nicht.
>
> Weiterhin möchte ich auch nicht wissen, wie viele "Admins" sich ein
> Zertifikat mit dem gleichen privaten Schlüssel erzeugt haben, der
> bereits für das kompromittierte Zertifikat verwendet wurde.
>
> Die Zertifikateanbieter wissen alle, dass sie nur Schlangenöl verkaufen,
> bei StartCom ist das Zertifikat eben billiger, nur dass die eben dann
> jeden Handgriff extra berechnen. Es gibt keine CA, der man vertrauen kann.
Carsten Strotmann und ich haben einen Artikel über DANE verfasst, der in der
nächsten c't erscheinen wird. DANE bietet einen Ausweg aus der CA-Misere.
p at rick
--
[*] sys4 AG
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Mehr Informationen über die Mailingliste Postfixbuch-users