Schaut euch doch mal CAcert an.

Ein schönes Web-Of-Trust wo man mindestens von 2~3 unabhängigen "Assurern" überprüft werden muss, bis man die nötigen Punkte hat um den Namen z.B. in einem E-Mail Zertifikat aufnehmen zu dürfen. Aber auch für SSL Zertifikate.

http://de.wikipedia.org/wiki/CAcert

Assurer in seiner Umgebung zu finden (zumindest in NRW etc...) ist eigentlich auch nicht sooo ein problem.

solange das Root Zertifikat von CA-Cert nicht im IE und allen anderen großen Browsern und auch im Windows selbst standardmäßig eingebunden ist, ist das nur relativ sinnlos.

Solange es Idioten gibt, die unabhaengige Zertifizierungsstellen
boykotieren, weil diese nicht unmengen von Geld zum Fenster
rauswerfen und dafuer ihren Auftrag ernst nehmen, wird sich
das auch nicht aendern.

Keiner meiner Bekannten hatte ein Problem damit, das CACert Root
Zertifikat zu aktzeptieren. Wer vor dem neuesten MITM Angriff
mit einem Null Byte im Namen sicher sein moechte, muss sowieso
alle Root Zertifikate ausschalten und die Serverzertifikate
einzeln pruefen und genehmigen!

Dumdidum schrieb:

> Assurer

Wie meinen?

Das hat nichts mit boykottieren zu tun. Nahezu 100% der Nutzer verstehen eben nicht, was ein Zertifikat, ein Root-Zertifikat oder eine Zertifizierungsstelle eigentlich macht. Für die ist eine Webseite sicher, wenn oben ein grünes Symbol auftaucht.

Man hat also zwei Möglichkeiten: (1) entweder man verbannt alle, die sich nicht auskennen aus dem Internet oder (2) man beschränkt sich auf die etablierten Root-Zertifizierungsstellen.

Praktikabel dürfte nur (2) sein, wobei ich finde, dass auch (1) durchaus seinen Charme hat.

Um sich die 2 Klicks zu ersparen, damit auch bei CAcert dieser kleine Grüne button in der Adresszeile erscheint, wirft mal Lieber den paar Zertifizierungsstellen Tonnenweise Geld in den Rachen?

Sicherheit und Verschlüsselung sollte nicht vom Geldbeutel abhängen. Ich behaupte sogar das die CAcert zertifizierten Signaturen vertrauenswürdiger sind als so manches zertifikat so manche anderer CA. Da man dort als Privatperson für ein Entsprechendes zertifikat von mehreren Augen kontrolliert wird, wobei die "Kontrolle" bei so manch anderer CA nur darin besteht ob das Geld eingegangen ist.

Klar lässt sich auch bei CAcert mit dem nötigem Aufwand betrügen, aber dafür muss man ~3 Leute finden, welche selbst von mindestens 5 Leuten "Assured" sein müssen, und selbst bis dato 25 Mitglieder Assuren, um dann einen eine Falsche Identität zu verpassen, welche Dokumentiert sein muss. Fliegt es dann auf folgt ein ban.

Bei diversen "Etablierten" CA's ahl ich halt jedes mal über ein anderes PayPal Konto und erhalte dann das schöne kleine Gründe Icon, auch wenn im Zertifikat "Biene Maja" drinsteht. Das Prüft eh niemand.

Er meint gaaanz bestimmt "Assyrer"... ;-)

___________

"Aufgrund der globalen Klimaerwärmung sowie der gegenwärtigen Finanzkrise wird das Licht am Ende des Tunnels nun abgeschaltet!"

- Autor unbekannt -

Dumdidum schrieb:
--------------------------------------------------------------------------------
> Um sich die 2 Klicks zu ersparen, damit auch bei CAcert

Du hast nicht verstanden was das Problem mit Certs ist die nicht im Rootstore *DER ANDEREN* ist.

CACert bietet keinerlei Sicherheit. Das Web-Of-Trust kann problemlos untergraben werden.

Wäre CACert per Default in Browsern etc. eingebunden würde die SPAM/Malware-Fraktion doch keine drei Wochen dauern um sich damit endlos viele Zertifikate ausstellen. Da bei vielen Anwendungen auch die Kontrolle von Revocation Lists (CRL) nicht sauber klappt hätte CACert auch wenig Möglichkeiten etwas dagegen zu tun.

> Ich behaupte sogar das die CAcert zertifizierten Signaturen
> vertrauenswürdiger sind als so manches zertifikat so manche
> anderer CA.

Sehe ich auch so.

> as Web-Of-Trust kann problemlos untergraben werden.

???