[Public] StartSSL

[Ralf Jung]

Hi,

> die Vorteile sind natürlich nur Theoretisch und bestehen darin, dass es bei
> einem selfsigned niemanden gibt, der einem anderen das gleiche Cert nochmal
> ausstellen kann. Sehr weit gedacht, wäre so ein MiM möglich.

Nein, das stimmt leider nicht. Die Browser vertrauen StartSSL ja
trotzdem, auch wenn wir self-signed nutzen. Wenn also StartSSL Mist
baut, ist es völlig egal, ob wir da Kunden sind oder nicht - die können
ein Zertifikat erstellen, das von allen Browser für unsere Domain
akzeptiert wird, *auch von solchen, die bereits unser eigenes Zertifikat
von Hand beigebracht bekommen haben* (das ist nur eine zusätzliche
Whitelist, schließt aber nichts aus).
Unseren Key wiederum hat StartSSL natürlich nicht, den habe ich auf
meinem eigenen Rechner generiert. Wer also von Hand prüft, dass das
richtige Zertifikat benutzt wird (z.B. weil der Fingerabdruck über einen
anderen Kanal abgeglichen wurde), verliert nichts. StartSSL bietet
lediglich einen weiteren Kanal, den Fingerabdruck zu verifizieren (über
ihre Root- und Intermediate-CA), dem man trauen kann oder auch nicht.
Es gibt Firefox-Erweiterungen (wie z.B. Certificate Patrol), mit denen
man Zertifikate "pinnen" kann, also einstellen, dass *ausschließlich*
ein bestimmtes Zertifikat für hacksaar.de gültig ist. Das kann aber
eingesetzt werden unabhängig davon, ob dieses Zertifikat selbst-signiert
ist oder andere Signaturen trägt.

Viele Grüße,
Ralf