[sage] IE und Self-Signed Certificates ?

Benedikt Stockebrand me at benedikt-stockebrand.de
Wed Oct 29 12:57:45 CET 2008


Moin allerseits,

bevor hier jetzt die Wellen unnötig hochschlagen:

Dirk hat schon Recht, dass man sich an unglaublich vielen Stellen ins
Knie schießen kann, wenn man meint, alles selbst und besser machen zu
können.  Denn dazu müsste man mindestens so viel Zeit, Wissen und
Erfahrung in seine Sachen stecken wie die Leute, die das ganze
anderswo schon umgesetzt haben.

Andererseits hat Jörg auch Recht, dass man einen Haufen existierende
Sachen nicht einsetzen will, weil da in puncto Sicherheit kein
Blumentopf mehr mit zu gewinnen ist.

Letztlich läuft es darauf hinaus, dass man sich schon sehr genau
aussuchen sollte, was man an existierenden Sachen einsetzt und wo man
um eine Eigenentwicklung nicht drumherum kommt.  Das Problem an der
Stelle ist, dass eine Menge Entwickler lieber gleich anfangen
rumzuwerkeln, ohne sich die Mühe zu machen, nach existierenden
Lösungen zu suchen.


Und zum ursprünglichen Thema: Die Problematik bei den SSL-CAs ist,
dass man möglichst wenige davon haben will, um möglichst wenig
Angriffsfläche zu bieten -- mit etwas Wahrscheinlichkeitsrechnung sind
Ansätze wie OpenCA deshalb leider eher fragwürdig.  Damit läuft das
ganze aber genau auf die Situation hinaus, mit der wir heute
konfrontiert werden: Einige wenige Root CAs sind in allen gängigen
Browsern drin, obwohl der eine oder andere sich schon mit massiver
Schlamperei disqualifiziert hat.

Diese CAs können dann ihr de-facto-Monopol natürlich beliebig
ausnutzen, ohne dafür eine Gegenleistung zu bieten.  Wenn Verisign für
die Schlamperei bei den angeblichen Microsoft-Zertifikaten
(http://slashdot.org/article.pl?sid=01/03/22/1947233) angemessen in
Regress genommen wäre, dann könnte man sicherlich argumentieren, dass
das ein paar Euro wert ist, aber so ist SSL letztlich wertlos.  Nur
was könnte man stattdessen benutzen?


Viele Grüße,

    Benedikt (PHP- und ActiveX-Verweigerer:-)

-- 
Benedikt Stockebrand, Dipl.-Inform.   http://www.benedikt-stockebrand.de/



More information about the SAGE mailing list