[sage] IE und Self-Signed Certificates ?

Joerg Mertin smurphy at solsys.org
Tue Oct 28 16:47:30 CET 2008


Naja - fuer SSH etc. geht nix durch. Da muss ich erst meinen Portknocker
bemuehen ...
Was webanwendungen angeht, so habe ich mittlerweile angefangen alles
selbst zu schreiben - da mit andere sachen nicht sicher genug programmiert
wurden.

Ich vermute - dass man heutzutage nicht vorsichtig genug sein kann.
Allerdings versteht z.B. meine Mutter nix davon - ergo kann Sie es eh
nicht nutzen. Dadurch dass Sie von Windows Systemen das "Nicht-Lesen
einfach OK Klicken" gelehrt wurde - versteht Sie FF nicht -> Add
exception.

Aber - warum soll ich meine eigenen, selbst Signierten Zertifikate
signieren lassen ? Wenn's eh jeder signieren kann - bin ich sicherer wenn
ich es selbst signiere :)


<quote who="Steffen Schulz">
> Hi all,
>
>
> Auf der mozilla security liste wird regelmaessig argumentiert, dass man
> Zertifikate ja heute quasi umsonst bekommt. Daher haette keiner/kaum einer
> einen Grund dafuer, sich ueber den restriktiven Umgang mit self-signed
> certs zu beschweren.
>
> http://www.startssl.com/?app=0
>
>
> Auf den ersten Blick sieht das auch ganz gut aus. Oder gibts da
> praktische Probleme?
>
>
> On 081028 at 15:43, Joerg Mertin wrote:
>> Meine Bekannten, die Mails ueber meinen Server lesen -
>> wissen alle Wie Sie sich zu verhalten haben,
>
> Wenn man davon ausgeht ist PKIX auch totaler Overkill. Da reicht ein
> key continuity management wie in ssh praktiziert. Nachteil dieses
> Verfahrens sieht man ganz praktisch an der 10MB key-blacklist,
> die jetzt diverse Programme mitbringen.
>
>> Fuer mich - im Privaten - kann ich nur eins sagen: Das sicherste
>> Zertifikate dass ich verwenden kann - ist eins dass ich selbst
>> erzeugt, signiert etc. habe.
>
> Naja. Wenns nichts kostet, schadet es aber auch nicht es signieren zu
> lassen. Ebenso wie es auch nicht total falsch ist, einen PGP-Key
> signieren zu lassen.
>
>> > 'Joerg Mertin' schrieb am 28.10.2008 14:29:
>> > naja, die wollen Dich halt in die Händer der SSL-Mafia treiben.
>> >
>> > Was der IE afaik macht, ist eine riesige Fehlerseite anzuzeigen,
>> > aber man kann wohl das Zertifikat noch irgendwie installieren -
>> > super sicher per http-Downlod halt, weil https geht ja nicht.
>
>
> Also auch nich anders wie Firefox 3..
>
> Resultat dieser Modifikation ist leider vielfach, dass die
> Leute einen anderen Browser benutzen oder die vorherige Version
> installieren.
>
> https://bugzilla.mozilla.org/show_bug.cgi?id=460374
>
> Dieser Bugreport hat kuerzlich die Entwickler auf den Boden der
> Tatsachen zurueckgeholt und eine laengliche Diskussion ueber diese
> Dinge ausgeloest.
>
>
> Alles nich so einfach..
>
> /steffen
> --
> pepe at unixfan.net                            gpg --recv-key A04D7875
> Key fingerprint: B805 57BE E4AF 0104 CC51  77A1 CE6F 8D46 A04D 7875
>
> _______________________________________________
> SAGE mailing list
> SAGE at guug.de
> http://lists.guug.de/mailman/listinfo/sage
>


-- 
------------------------------------------------------------------------
| Joerg Mertin              :  smurphy at solsys.org                (Home)|
| in Forchheim/Germany      :  smurphy at linux.de                  (Alt1)|
| Stardust's LiNUX System   :                                          |
| Web: http://www.solsys.org                                           |
------------------------------------------------------------------------
PGP Fingerprint: AF0F FB75 997B 025F 4538 5AD6 9888 5D97 170B 8B7A





More information about the SAGE mailing list