Zertifizierungsstellen / Thunderbird

„[…] Zentralisierte Zertifizierungsstellen, wie sie für S/MIME und auch für HTTPS-Webseiten eingesetzt werden, sind in der Vergangenheit so oft missbraucht und angegriffen worden, dass es kaum Anlass gibt, ihnen noch zu trauen. Diginotar, Comodo, Türktrust und zuletzt India CCA sind nur einige der Namen von Zertifizierungsstellen, die in der Vergangenheit bewiesenermaßen gefälschte Zertifikate ausgestellt hatten.“

Das ist ein hartes Urteil, somit ist Golem der Meinung das unser Internet bereits kaputt ist. Am besten wir gehen jetzt alle offline. :P

Nein, ernsthaft. Die Probleme der Zertifizierungsstellen sind bekannt seit dem ersten Tag. Problem ist einfach, keiner hat auch nur ansatzweise eine bessere Idee wie man es angehen könnte. Sowohl PGP als auch die neue Lösung von Google sind meiner Meinung nach besonders vom Spam geplagt. Das mit dem Hash für die Adressen ist nicht schlecht. Doch was wenn SHA512 (z. B.) in 10 Jahren gebrochen ist? Die Logs sind dann immer noch da und je nachdem wie viel Aufwand es bedeutet nachträglich die Logs durch zu gehen und zu entschlüsseln könnte das ganz interessant werden. E-Mail-Adressen sind ja meist für sehr lange Zeit in Verwendung. Meine älteste die auch täglich verwende hat bereits neun Jahre auf dem Buckel (ich bin mir sicher, dass es andere mit noch viel älteren gibt). Persönlich bleibe ich bei S/MIME, die native Unterstützung ist einfach gegeben in so gut wie jedem Client, wo wir auch beim nächsten Thema wären.

Thunderbird ist immer noch einer der am meisten genutzten offline und open source Clients für E-Mail (nicht basieren auf Statistiken, aber wenn ich mir so anschaue was empfohlen wird und bei Groupwares immer am wichtigsten ist), der wird aber nicht weiter entwickelt. Vielleicht gibt es dann wieder ein Add-On, das mehr schlecht als recht entwickelt und supported wird. Aber ehrlich, sollen wir alle zu Gmail wechseln (das Google und die NSA das wollen ist mir schon klar)?

Es muss eine Lösung für das CA (Zertifizierungsstellen) Problem erdacht werden, nur so können wir wieder Kontrolle erlangen. Es muss mehr Kontrolle her, ganz einfach. Da geht Google auch in die richtige Richtung, die Transparency Extension ist sehr gut und DANE für DNS macht den Großteil eh überflüssig. Wenn es dann endlich weniger CAs gibt kommt auch wieder Kontrolle ins Spiel rein.

ja dann braucht man nur noch wenige zertifizierungstellen komprommitieren um an alles ranzukommen ... super idee!

einfach ganz weg von dem zertifizierungsmist!