[Public] StartSSL
Wolfgang Herget
mail at wolfgangherget.de
Mo Mär 24 11:11:10 CET 2014
Hi!
Am 24.03.2014 um 09:45 schrieb Ralf Jung <post at ralfj.de>:
>
> Unseren Key wiederum hat StartSSL natürlich nicht, den habe ich auf
> meinem eigenen Rechner generiert.
A-ha! Dann weiß ich ja jetzt wer in Zukunft meine Kommunikation mit
hacksaar.de mitliest. <insert Diskussion über key storage here>
> StartSSL bietet
> lediglich einen weiteren Kanal, den Fingerabdruck zu verifizieren (über
> ihre Root- und Intermediate-CA), dem man trauen kann oder auch nicht.
Ich glaube der Punkt war wahrscheinlich die Kritik, dass man einer
CA nur bis zu einem gewissen Maß trauen kann, und dass CA-Listen-Veröffentlicher
das nach seltsamen Maßen tun.
Pinning hilft AFAICS auch nur bei Zertifikaten die lange genug leben.
Ich hatte jetzt schön öfter den Fall dass nach Suspend-to-Disk mich mein
Browser beim Besuch von Google angemalt hat, das Zertifikat wäre abgelaufen,
weil meine Systemuhr noch nicht wieder mit der Hardware-Uhr synchronisiert
wurde. Wenn ich alle 3 Monate ein neues Zertifikat pinnen muss ist das auch
ziemlich Sinnbefreit.
Trotzdem: Pinning = generell gute Idee (IMHO).
Viele Grüße,
Wolfgang
--
Wolfgang Herget <mail at wolfgangherget.de>
http://www.wolfgangherget.de
Ceterum censeo RFC1855 esse legendam.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 496 bytes
Beschreibung: Message signed with OpenPGP using GPGMail
URL : <http://lists.hacksaar.de/pipermail/public/attachments/20140324/bcd2ec20/attachment.pgp>
More information about the Public
mailing list