1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Überwachung: Aufregung um…

Lets Encrypt

  1. Thema

Neues Thema


  1. Lets Encrypt

    Autor: Justizia 30.05.16 - 13:26

    Bei Lets Encrypt sind ja auch Sponsoren wie Cisco dabei.
    Cisco ist der beste Freund der NSA.
    Muss ich jetzt Angst haben, dass die NSA meinen Traffic entschlüsseln kann? Soll ich lieber Thawte verwenden (ist aber auch aus den USA).. Wo krieg ich denn deutsches SSL her?

  2. Re: Lets Encrypt

    Autor: dasa 30.05.16 - 13:39

    Für die Sicherheit deines Zertifikats spielt es keine Rolle, wo du diese her hast, solang du der CA nur deine CSR übergibst. Auf keinen Fall würde ich ein Schlüsselpaar von der Zertifizierungsstelle erstellen lassen.

    Die wesentlichen Schritte sind hier beschrieben:
    http://www.heise.de/security/artikel/SSL-fuer-lau-880221.html

    Btw, mit dem offiziellen Let's Encrypt Client bekommt die Zertifizierungsstelle auch nur die CSR zu sehen.



    2 mal bearbeitet, zuletzt am 30.05.16 13:45 durch dasa.

  3. Re: Lets Encrypt

    Autor: registrierungensindbloedsinn 30.05.16 - 16:21

    dasa schrieb:
    --------------------------------------------------------------------------------
    > Für die Sicherheit deines Zertifikats spielt es keine Rolle, wo du diese
    > her hast, solang du der CA nur deine CSR übergibst. Auf keinen Fall würde
    > ich ein Schlüsselpaar von der Zertifizierungsstelle erstellen lassen.
    >
    > Die wesentlichen Schritte sind hier beschrieben:
    > www.heise.de
    >
    > Btw, mit dem offiziellen Let's Encrypt Client bekommt die
    > Zertifizierungsstelle auch nur die CSR zu sehen.

    Eigentlich ist es ja Wurscht, es müsste nur eine der xxx CA/SubCA ein Zertifikat für deine Domain ausstellen und gut ist. Ob die jetzt "berechtigt" durch dein CSR ist, oder den einfach selbst machen ist doch egal, du vertraust deren CA.

  4. Re: Lets Encrypt

    Autor: dasa 30.05.16 - 16:40

    registrierungensindbloedsinn schrieb:
    --------------------------------------------------------------------------------
    > Eigentlich ist es ja Wurscht, es müsste nur eine der xxx CA/SubCA ein
    > Zertifikat für deine Domain ausstellen und gut ist. Ob die jetzt
    > "berechtigt" durch dein CSR ist, oder den einfach selbst machen ist doch
    > egal, du vertraust deren CA.

    Ich vertraue der CA ganz und garnicht. Deshalb rücke ich meinen privaten Schlüssel auch nicht heraus. Allein der Hoster, bei dem die jeweilige Webseite zur Domain betrieben wird, soll Zugriff auf den privaten Schlüssel haben.



    1 mal bearbeitet, zuletzt am 30.05.16 16:41 durch dasa.

  5. Re: Lets Encrypt

    Autor: registrierungensindbloedsinn 30.05.16 - 16:48

    dasa schrieb:
    --------------------------------------------------------------------------------
    > ...
    > Ich vertraue der CA ganz und garnicht. Deshalb rücke ich meinen privaten
    > Schlüssel auch nicht heraus. Allein der Hoster, bei dem die jeweilige
    > Webseite zur Domain betrieben wird, soll Zugriff auf den privaten Schlüssel
    > haben.

    Nein, ich meinte, eigentlich es es auch egal WELCHER CA du traust, jede CA kann für jede Domäne ein Zertifikat ausstellen (wenn man kein Pinning etc. nutzt), somit ist das CAsystem eigentlich schon ziemlich fail-by-design. Ob du den CSR selbst machst oder nicht ist dann eigentlich nur Augenauswischerei.

  6. Re: Lets Encrypt

    Autor: dasa 30.05.16 - 16:56

    registrierungensindbloedsinn schrieb:
    --------------------------------------------------------------------------------
    > Nein, ich meinte, eigentlich es es auch egal WELCHER CA du traust, jede CA
    > kann für jede Domäne ein Zertifikat ausstellen (wenn man kein Pinning etc.
    > nutzt), somit ist das CAsystem eigentlich schon ziemlich fail-by-design. Ob
    > du den CSR selbst machst oder nicht ist dann eigentlich nur
    > Augenauswischerei.

    Wenn du auf die Verwendung einer CSR verzichtest und somit alles von der CA erstellen lässt, hebelst du den Schutz, welcher dir Pinning bietet aus. Denn dann kann die CA, Strafverfolgungsbehörden, Hacker mit Zugriff auf den bei der CA abgespeicherten Privatschlüssel etc. einen eigenen Webserver betreiben mit derselben Zertifikatskette, die zuvor gepinnt wurde. HPKP, Certificate Patrol etc. ist damit wertlos.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT Projektmanager (m/w/d) Hosting
    Babiel GmbH, bundesweit
  2. iOS-Developer (m/w/d)
    dabeipackzettel GmbH, Berlin-Moabit (Home-Office)
  3. Produktverantwortlicher ServiceDesk (w/m/d)
    dmTECH GmbH, Karlsruhe
  4. Softwareentwickler (m/w/d) - Anwendungsentwicklung im klinischen Umfeld
    R-Biopharm AG, Darmstadt

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 999€ (Vergleichspreis 1.279€) - günstig wie nie! BEI PROSHOP
  2. 1.039,18€ - günstig wie nie!


Haben wir etwas übersehen?

E-Mail an news@golem.de


Gesundheit: Achtsamkeit - alles Esoterik, oder was?
Gesundheit
Achtsamkeit - alles Esoterik, oder was?

Achtsamkeitsmeditation verspricht mehr Gelassenheit und Zufriedenheit in Beruf und Alltag. Eine neue Superkraft? Und wie gelingt der Einstieg?
Von Marc Favre

  1. Mathematik & Neurologie Unser Gehirn verarbeitet die Zahlen unterschiedlich
  2. Augen Besser sehen bei der Bildschirmarbeit
  3. Longevity Am Jungbrunnen wird nicht nur getüftelt, sondern geforscht

iRobot Roomba Combo j9+: Ein Fall, den auch der Schmutzdetektiv nicht löst
iRobot Roomba Combo j9+
Ein Fall, den auch der Schmutzdetektiv nicht löst

Mit einer "Schmutzdetektiv"-Funktion will der iRobot noch bequemer reinigen als die vielen guten Alternativen. Im Test wiegt aber schwer, dass er eine wichtige Komfortfunktion vernachlässigt.
Ein Test von Berti Kolbow-Lehradt

  1. Speicherrekord Die erste 2-TByte-Micro-SD ist da - aber zu welchem Preis?
  2. 32 Gigabyte Mehr Arbeitsspeicher im Asus ROG Ally
  3. Analogcomputer Programmieren mit Reglern, Röhren und Steckern

Hewlett Packard Enterprise: Was die Übernahme von Juniper Networks durch HPE bedeutet
Hewlett Packard Enterprise
Was die Übernahme von Juniper Networks durch HPE bedeutet

Juniper-Vorstandschef Rami Rahim wird den gemeinsamen Bereich HPE-Network leiten. Dazu gehört auch Aruba Networks.
Von Achim Sawall

  1. Hewlett Packard Enterprise HPE will offenbar Juniper Networks kaufen