StartSSL: Kostenlos, aber nicht sicher

CAcert Certs sind viel besser geprüft (mindestens dreifach von drei unterschiedlichen Leuten, die sich selber bereits genug Vertrauen verdient haben), als die kostenlosen StartSSL Certs und die Certs mit guter Prüfung kosten auch bei StartSSL Geld. Es geht hier nicht nur um den Preis, es geht hier auch um Sicherheit!

/Mecki

Die "großen" sind auch nicht sicherer. Thawte, Comodo und wie sie alle heißen prüfen auch nur per E-Mail (EV ausgenommen) und verlangen dafür einen Haufen Geld.
Aufwand? Null. CSR wird per Formular übermittelt, User bekommt eine Mail mit Validierungslink und das signing läuft automatisiert.

Was "sicher" ist ist bei TLS-Zertifikaten immer so eine schwierige Frage. Das Problem ist ja: Es kann Dir im Prinzip völlig egal sein, wie "sicher" Deine CA ist. Denn das ganze System ist immer nur so sicher wie die Schlechteste von allen CAs, die ein Browser akzeptiert.

Für den Webserver-Betreiber (und da schließe ich mich selbst ein) ist es einfach eine pragmatische Frage: Bei CAcert muss man erst seinen Usern erklären, wie sie ein zusätzliches Zertifikat importieren. Bei StartSSL hat man keine Probleme. Und "sicherer" wird es auch nicht wenn man eine CA nutzt, die die Identität prüft, weil ja weiterhin jede CA einen MITM-Angriff durchführen kann.

Aber insgesamt gilt natürlich schon lange: Das ganze CA-System ist ausgesprochen problematisch und eigentlich müsste man dringend etwas besseres erfinden. Es gab da schon vielversprechende Vorschläge, etwa Sovereign Keys oder das daran angelehnte TACK, aber leider bisher nichts was es durch die IETF-Standardisierung und in die Browser geschafft hat.

/mecki78 schrieb:
--------------------------------------------------------------------------------
> CAcert Certs sind viel besser geprüft (mindestens dreifach von drei
> unterschiedlichen Leuten, die sich selber bereits genug Vertrauen verdient

Nein. Es werden die *User* verifiziert, aber auch ohne kann man class-1-zertifikate ausstellen; die sind weniger lange gültig, was aber auch genau nix nuetzt, wenn nur Nerds die root-zertifikate importiert, der normale User bekommt eine fehlermeldung (und warscheinlich vom $admin noch gesagt, "kannst du ignorieren"), die ihn darauf trainiert einfach alles zu klicken...

> haben), als die kostenlosen StartSSL Certs und die Certs mit guter Prüfung
> kosten auch bei StartSSL Geld. Es geht hier nicht nur um den Preis, es geht
> hier auch um Sicherheit!

Class1-mail-verification funktioniert immer gleich, egal ob cacert, startssl oder ein teures verisigh-zertifikat...

Außerdem hat bei diesen oben genannten "Großen", zu denen auch Verisgn gehört, die NSA Zugriff auf deren ROOT-Zertifikat. Daraus folgt, daß deren ausgelieferte Zertifikate per se bzgl. Schutz vor NSA unwirksam sind (s.o. MITM)!!!
Und ob es erstrebenswet ist in der gleichen Reihe der CAs bei Mozilla wie TürkTrust zu stehen ist sehr fraglich, da diese schon mehrfach angemahnt wurden wegen Erstellung fraglicher Zertifikate.

Andreas