[sage] IE und Self-Signed Certificates ?

[Steffen Schulz]

Hi all,


Auf der mozilla security liste wird regelmaessig argumentiert, dass man
Zertifikate ja heute quasi umsonst bekommt. Daher haette keiner/kaum einer
einen Grund dafuer, sich ueber den restriktiven Umgang mit self-signed
certs zu beschweren.

http://www.startssl.com/?app=0


Auf den ersten Blick sieht das auch ganz gut aus. Oder gibts da
praktische Probleme?


On 081028 at 15:43, Joerg Mertin wrote:
> Meine Bekannten, die Mails ueber meinen Server lesen -
> wissen alle Wie Sie sich zu verhalten haben,

Wenn man davon ausgeht ist PKIX auch totaler Overkill. Da reicht ein
key continuity management wie in ssh praktiziert. Nachteil dieses
Verfahrens sieht man ganz praktisch an der 10MB key-blacklist,
die jetzt diverse Programme mitbringen.

> Fuer mich - im Privaten - kann ich nur eins sagen: Das sicherste
> Zertifikate dass ich verwenden kann - ist eins dass ich selbst
> erzeugt, signiert etc. habe.

Naja. Wenns nichts kostet, schadet es aber auch nicht es signieren zu
lassen. Ebenso wie es auch nicht total falsch ist, einen PGP-Key
signieren zu lassen.

> > 'Joerg Mertin' schrieb am 28.10.2008 14:29:
> > naja, die wollen Dich halt in die Händer der SSL-Mafia treiben.
> >
> > Was der IE afaik macht, ist eine riesige Fehlerseite anzuzeigen,
> > aber man kann wohl das Zertifikat noch irgendwie installieren -
> > super sicher per http-Downlod halt, weil https geht ja nicht.


Also auch nich anders wie Firefox 3..

Resultat dieser Modifikation ist leider vielfach, dass die
Leute einen anderen Browser benutzen oder die vorherige Version
installieren.

https://bugzilla.mozilla.org/show_bug.cgi?id=460374

Dieser Bugreport hat kuerzlich die Entwickler auf den Boden der
Tatsachen zurueckgeholt und eine laengliche Diskussion ueber diese
Dinge ausgeloest.


Alles nich so einfach..

/steffen
-- 
pepe at unixfan.net                            gpg --recv-key A04D7875
Key fingerprint: B805 57BE E4AF 0104 CC51  77A1 CE6F 8D46 A04D 7875