[Public] StartSSL
Ralf Jung
post at ralfj.de
Mo Mär 24 11:19:40 CET 2014
Hallo,
>> Unseren Key wiederum hat StartSSL natürlich nicht, den habe ich auf
>> meinem eigenen Rechner generiert.
>
> A-ha! Dann weiß ich ja jetzt wer in Zukunft meine Kommunikation mit
> hacksaar.de mitliest. <insert Diskussion über key storage here>
Ich bin Admin auf dem Server (genau wie Kevin, Chriss und Jochen).
Natürlich habe ich Zugang zu diesem Key. Und da Apache den Key braucht,
um TLS zu machen, gibt es auch keinen Weg, dass der Admin *nicht* Zugang
zum Key hat. Außerdem kann ich als Admin einfach alles am Endpunkt der
Kommunikation mitloggen, nachdem entschlüssel wurde - bzw., es hindert
mich nichts daran, entsprechende Software zu installieren.
Von daher sehe ich deinen Punkt nicht^^
>> StartSSL bietet
>> lediglich einen weiteren Kanal, den Fingerabdruck zu verifizieren (über
>> ihre Root- und Intermediate-CA), dem man trauen kann oder auch nicht.
>
> Ich glaube der Punkt war wahrscheinlich die Kritik, dass man einer
> CA nur bis zu einem gewissen Maß trauen kann, und dass CA-Listen-Veröffentlicher
> das nach seltsamen Maßen tun.
Da stimme ich dir voll zu. Aber wenn StartSSL nunmal ohnehin in der
Liste ist, gibt es m.E. keinen Grund, StartSSL nicht zu benutzen.
Und es gibt andere Einträge in dieser Liste, denen ich weniger vertrauen
würde...^^
> Pinning hilft AFAICS auch nur bei Zertifikaten die lange genug leben.
> Ich hatte jetzt schön öfter den Fall dass nach Suspend-to-Disk mich mein
> Browser beim Besuch von Google angemalt hat, das Zertifikat wäre abgelaufen,
> weil meine Systemuhr noch nicht wieder mit der Hardware-Uhr synchronisiert
> wurde. Wenn ich alle 3 Monate ein neues Zertifikat pinnen muss ist das auch
> ziemlich Sinnbefreit.
Stimmt, das ist nur eine Art Hack. Die StartSSL-Zertifikate sind ein
Jahr gültig, ich werde die Fingerabdrücke immer in signierter Mail
bekannt geben.
Besser wäre natürlich Zertifikats-Validierung via DNSSEC (z.B. mit
DANE), aber ich weiß nichtmal, ob die Standards dafür schon fertig sind.
Von DNSSEC-signierten Zonen und entsprechenden validierenden Clients mal
ganz abgesehen.
Viele Grüße,
Ralf
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 538 bytes
Beschreibung: OpenPGP digital signature
URL : <http://lists.hacksaar.de/pipermail/public/attachments/20140324/690f0c9c/attachment.pgp>
More information about the Public
mailing list