Moinsen!

Jo, habe ich gelesen, aber ich sehe das ähnlich, wie Bernd:
Thawte vergibt Zertifikate, die von allen gängigen Systemen als
'vertrauenswürdig' eingestuft werden...
Das ist ein Riesenvorteil, die Zertifikate von CAcert haben gegenüber
selber gebauten Zertifikaten meines Erachtens keine Vorteile...
Falls diese CA auch einmal solch einen Status wie Thawte erreicht wäre das natürlich anders...

Okay, weil das ja so einfach ist, habe ich mich da einmal auch
eingeschrieben, an mir soll's nicht hängen.
Wenn jemand ein CAcert-Zertifikat haben will, zeichne ich auch so was.
(Sofern die das noch schaffen mir einen dementsprechenden Status zu
verpassen)

Gruss,
Steffen

^^^^^
Habe mir die Web-Seite noch mal angeschaut. So nicht-kommerziell wirkte das
auf mich nicht. Insbesondere [url]http://www.cacert.org/index.php?id#[/url] finde ich
sehr dubios.

-1

Ciao, Michael.

Hai!

Das ist IMO eine reine Sache des Gutdünkens des Browserherstellers?

Keine Ahnung. Denkst Du da gibt's Knete für, wenn man die Dinger gleich
mit reinbaut?
Was ist wenn eine CA z.B. der Preis für solch einen Einbau nicht
bezahlen will, wird dann der Browser mit ausgeliefert und empfindet dann
Verisign Zertifikate als nicht vertrauenswürdig ?!?

Bis jetzt mal noch nicht, aber da kann man ja bestimmt mal nachfragen,
da findet demnächst irgend wo eine Aktion über ein paar Tage statt,
ideal um Leuten auf die Nerven zu gehen...

Gruss,
Steffen

Welchen Vorteil hätten Mozilla oder Konqueror davon, wenn Sie von Netscape
abweichen? Für alle Browser Hersteller gilt zunächst mal: wenn es jemand
schafft ein falsches Zertifikat ein zu schmuggeln oder ein Schlüssel
irgendwo kompromittiert wird, dann ist das ein Desaster. Mann sollte also
sehr vorsichtig bei der Aufnahme weiterer Zertifikate sein, vielleicht
lieber eine paar entfernen als weitere Aufnehmen.

Andreas

Das stell ich mir so vor.


s/mit/ohne Ja, ich denke, dass dann z.B. Verisign nicht mehr
vertrauenswürdig wäre.

Sven

--
"If you continue running Windows, your system may become unstable."
(Windows 95 BSOD)

/me is [EMAIL REMOVED], [url]http://sven.gegg.us/[/url] on the Web

Ich habe mit Absicht nicht "professionell" geschrieben.


O.g. URL enthält unter der Überschrift "Software that can utilise X.509
Certificates" Links zum Kauf von PKZIP. Vielleicht bin ich ja zu doof, es zu
verstehen. Kann PKZIP was mit X.509-Zertifikaten anfangen?


Das ist aber von besagter Seite aus nicht verlinkt. Ich kann den Link
übrigens gar nirgends finden.

Jepp. Das ist die richtige Frage.


Das ist ja wohl ein Witz. Und wie kommt man von [url]http://www.cacert.org/[/url] zu
dieser Seite? Ich seine gerade blind zu sein.

Christian, alles in allem ist das nicht mehr als deine oder meine Demo-CA.

Ciao, Michael.

Eher weniger aufwand. Die vertrauen einem ungeschulten Schuhverkäufer oder
einer "Schufa" Auskunft.

Gruss
Bernd
--
eckes privat - [url]http://www.eckes.org/[/url]
Project Freefire - [url]http://www.freefire.org/[/url]

Nein. Falsche Zertifikate in den Browser zu bekommen ist eine echte Gefahr
und kann böse ausgenutzt werden. Daher nimmt man nur Certifikate auf,
denen man auch vertraut, sonst macht das keinen Sinn. Wer dein CA Root
importiert sollte wissen was man da macht, sowas allen Benutzern per
default mitgeben wäre Wahnsinn.

In punkto authentifikation verlasse ich mich entweder auf jemand der einen
guten Ruf zu verlieren hat und aktiv was dafür tut (klappt bei banknoten
ganz gut), oder auf leute denen ich vertraue (pgp/gpg - zumindest in der
theorie).

Mag sein, das eines tages projekte wie konqueror und mozilla sich bereit
erklären CAcert per default aufzunehmen. Bis dahin müssen die sich aber
ein vertrauen erarbeiten, geschenkt bekommen sie das nicht. Ich bin
da lieber konserativ und warte ab.

Andreas

Es würde schon eine SMIME-Akzeptanz zum selber inbauen in Konq genügen
um mich happy zu stimmen...


Irgendwie ist es auch irrsinnig Leute einfach so als vertrauenswürdig
einzustufen, nur weil eine CA sagt, dass sie das wären. Wissen tun sie
das keineswegs, sie haben nur deren Identität festgestellt/feststellen
lassen: das ist Derda!

EIn gesundes Misstrauen ist immer eine gute Idee und ich könnte auch mit
dem EInbau von Zertifikaten leben, so nach dem Motto:
Das hier ist ein Zertifikat von dem-da und als sicher zertifiziert hat
das diese CA.
Im Prinzip so, wie es jetzt läuft, wenn keine 'vertrauenswürdige CA'
dahintersteht. Aber da man halt irgendwie mit allem Geld verdienen kann...
Naja.

Gruss,
Steffen

Bei dem Anspruch, der auf der Web-Seite verbreitet wird, siehe RFC 2527. Ja,
das ist enormer Aufwand.

Ja.

Das Hauptproblem ist aber, daß praktisch niemand CRLs checkt. Und dies bei
Zertifikatgültigkeitsdauern von ein bis drei Jahren. Das läßt Diskussionen
über die "Vertrauenswürdigkeit" von vorinstallierten CAs ziemlich akademisch aussehen.

Ich würde schätzen, das deutsche AGB-Gesetz kassiert schon die meisten
anglo-amerikanischen Haftungsausschlussklauseln, wenn's denn mal hart auf
hart kommt (sprich: wenn jemand mal X.509-Zertifikate nicht nur zum
Rumdaddeln einsetzt, die CA Mist gebaut hat und der jemand genug Geld hat
über den Atlantik hinweg 'nen Prozess anzustrengen).

Ciao, Michael.

"Steffen Mutter"

Ich habe dich im "Assurer Locator"
([url]https://secure.cacert.org/assure.php?id=9&country=Germany[/url]) nicht gefunden.
Hast du dich absichtlich nicht eingetragen oder ist da was schief gelaufen?

Gruß, Christian

Hm, wenn ich unter Preferences geren etwas eintragen wollte erscheint da
nur 'Still to be complete', sprich ich kann da gar nix machen :-/

Gruss,
Steffen

Hallo,

----- Original Message -----
From: "Andreas Jellinghaus"
Sent: Monday, July 07, 2003 11:24 PM


Dass ihre Arbeitsweise vertrauenswürdig sein muss ist sicher richtig.


Das ist natürlich ein Henne/Ei-Problem. Wie sollen sie sich als
vertrauenswürdig erweisen, wenn niemand sie benutzt.


----- Original Message -----
From: "Steffen Mutter"
Sent: Tuesday, July 08, 2003 12:39 AM


.... und dafür, dass sie bei der Identitätsfeststellung keinen Fehler gemacht
haben, haften sie auch nur begrenzt.


Das ist genau mein Punkt. Der serienmäßige Import typischer CAs in den
Browser nimmt dem Endanwender die Entscheidung über die Vertrauenswürdigkeit
ab. Dies ist immer dort sinnvoll, wo nicht höchste Sicherheit zu Lasten der
Handhabbarkeit gefordert ist, sondern "typische" Sicherheit, die auch Otto
Normalverbraucher in den Griff bekommt. Darin liegt der Wert der Thawte
Zertifikate. Das heißt aber nicht, dass nicht importierte Zertifikate von
vorne herein unsinnig oder gar unsicher seien oder dass man umgekehrt
importierten Zertifikaten blindlings vertrauen könnte.


Gruß, Christian