-
Lets Encrypt
Autor: Justizia 30.05.16 - 13:26
Bei Lets Encrypt sind ja auch Sponsoren wie Cisco dabei.
Cisco ist der beste Freund der NSA.
Muss ich jetzt Angst haben, dass die NSA meinen Traffic entschlüsseln kann? Soll ich lieber Thawte verwenden (ist aber auch aus den USA).. Wo krieg ich denn deutsches SSL her? -
Re: Lets Encrypt
Autor: dasa 30.05.16 - 13:39
Für die Sicherheit deines Zertifikats spielt es keine Rolle, wo du diese her hast, solang du der CA nur deine CSR übergibst. Auf keinen Fall würde ich ein Schlüsselpaar von der Zertifizierungsstelle erstellen lassen.
Die wesentlichen Schritte sind hier beschrieben:
http://www.heise.de/security/artikel/SSL-fuer-lau-880221.html
Btw, mit dem offiziellen Let's Encrypt Client bekommt die Zertifizierungsstelle auch nur die CSR zu sehen.
2 mal bearbeitet, zuletzt am 30.05.16 13:45 durch dasa. -
Re: Lets Encrypt
Autor: registrierungensindbloedsinn 30.05.16 - 16:21
dasa schrieb:
--------------------------------------------------------------------------------
> Für die Sicherheit deines Zertifikats spielt es keine Rolle, wo du diese
> her hast, solang du der CA nur deine CSR übergibst. Auf keinen Fall würde
> ich ein Schlüsselpaar von der Zertifizierungsstelle erstellen lassen.
>
> Die wesentlichen Schritte sind hier beschrieben:
> www.heise.de
>
> Btw, mit dem offiziellen Let's Encrypt Client bekommt die
> Zertifizierungsstelle auch nur die CSR zu sehen.
Eigentlich ist es ja Wurscht, es müsste nur eine der xxx CA/SubCA ein Zertifikat für deine Domain ausstellen und gut ist. Ob die jetzt "berechtigt" durch dein CSR ist, oder den einfach selbst machen ist doch egal, du vertraust deren CA. -
Re: Lets Encrypt
Autor: dasa 30.05.16 - 16:40
registrierungensindbloedsinn schrieb:
--------------------------------------------------------------------------------
> Eigentlich ist es ja Wurscht, es müsste nur eine der xxx CA/SubCA ein
> Zertifikat für deine Domain ausstellen und gut ist. Ob die jetzt
> "berechtigt" durch dein CSR ist, oder den einfach selbst machen ist doch
> egal, du vertraust deren CA.
Ich vertraue der CA ganz und garnicht. Deshalb rücke ich meinen privaten Schlüssel auch nicht heraus. Allein der Hoster, bei dem die jeweilige Webseite zur Domain betrieben wird, soll Zugriff auf den privaten Schlüssel haben.
1 mal bearbeitet, zuletzt am 30.05.16 16:41 durch dasa. -
Re: Lets Encrypt
Autor: registrierungensindbloedsinn 30.05.16 - 16:48
dasa schrieb:
--------------------------------------------------------------------------------
> ...
> Ich vertraue der CA ganz und garnicht. Deshalb rücke ich meinen privaten
> Schlüssel auch nicht heraus. Allein der Hoster, bei dem die jeweilige
> Webseite zur Domain betrieben wird, soll Zugriff auf den privaten Schlüssel
> haben.
Nein, ich meinte, eigentlich es es auch egal WELCHER CA du traust, jede CA kann für jede Domäne ein Zertifikat ausstellen (wenn man kein Pinning etc. nutzt), somit ist das CAsystem eigentlich schon ziemlich fail-by-design. Ob du den CSR selbst machst oder nicht ist dann eigentlich nur Augenauswischerei. -
Re: Lets Encrypt
Autor: dasa 30.05.16 - 16:56
registrierungensindbloedsinn schrieb:
--------------------------------------------------------------------------------
> Nein, ich meinte, eigentlich es es auch egal WELCHER CA du traust, jede CA
> kann für jede Domäne ein Zertifikat ausstellen (wenn man kein Pinning etc.
> nutzt), somit ist das CAsystem eigentlich schon ziemlich fail-by-design. Ob
> du den CSR selbst machst oder nicht ist dann eigentlich nur
> Augenauswischerei.
Wenn du auf die Verwendung einer CSR verzichtest und somit alles von der CA erstellen lässt, hebelst du den Schutz, welcher dir Pinning bietet aus. Denn dann kann die CA, Strafverfolgungsbehörden, Hacker mit Zugriff auf den bei der CA abgespeicherten Privatschlüssel etc. einen eigenen Webserver betreiben mit derselben Zertifikatskette, die zuvor gepinnt wurde. HPKP, Certificate Patrol etc. ist damit wertlos.



