> Kostenlose SSL-Zertifikate und ihr Nutzen > [http://www.symlink.ch/article.pl?sid=05/02/24/1526211&mode=thread] > Security | Veröffentlicht durch tuxedo am 2005-02-24 15:36:52 > Aus der Zweischneidiges-Schwert Abteilung > Sowohl Slashdot als auch Heise haben anscheinend unabhängig voneinander recht > unterschiedliche Artikel zu kostenlosen SSL-Zertifikaten und deren Sinn und > Zweck. Während der Slashdot-Artikel mehr oder weniger ein Link auf einen > Artikel bei Linuxlookup (momentan slashdotted) ist, äussert sich Heise eher > kritisch gegenüber den Angeboten. Die Anbieter von kostenlosen > SSL-Zertifikaten führen vor allem die hohen Preise der Certificate > Authorities als Begründung für ihr Angebot an. Firmen vie Verisign machen > damit Millionen-Umsätze. Der israelische Linux-Startup StartCom hat deshalb > eine eigene Zertifizierungsstelle eröffnet. Auch der CCC betreibt schon seit > längerer Zeit die CCC-CA und die Non-Profit-Organisation CAcert betreibt > ebenfalls schon seit geraumer Zeit ein solches Angebot. > Der Nutzen von solchen Zeritifikaten ist wirklich fraglich, denn prinzipiell > kann sich jeder selbst ein SSL-Zertifikat erstellen (z.B. mit OpenSSL). Ein > solches Zertifikat kann vertrauenswürdiger wirken als eines, dass von einer > relativ unbekannten Firma oder Organisatione ausgestellt wurde. Wenn jedoch > eine zentrale Organisation, die bekannt und anerkannt ist die Zertifikate > ausstellen würde, kann dies durchaus einen Nutzen bieten, zum Beispiel für > freie Projekt oder NGOs. Eine solche CA wäre dann unter Umständen sogar > vertrauenswürdiger als ein kommerzielles Unternehmen. ###### Solange es gut genug ist ... [http://www.symlink.ch/comments.pl?sid=05/02/24/1526211&cid=4] (Score:2) von dino (neil@franklin.ch.remove) am Fri. 25. February 05, 10:52 MEW (User #32 Info) http://neil.franklin.ch/ Es gibt viele Website (und Mailserver) Betreiber, die wollen mit Krypto genau eines machen: Passwortsniffern die Pakete unlesbar machen. Und damit unerwuenschte Logins und Rechnergebrauch durch Fremde loswerden. Und sie wollen dafuer *nicht* dem User tonnenweise erschreckende Warndialoge (die er eh nicht versteht und sich nur nervt und sie wegklickt) an den Kopf werfen. Und ja, dass ist IMHO nix anderes als ein Broser Fehldesign Problem umschiffen, mit was fuer Mitteln man halt eben finden kann. Nur eine *einzige* simple Dialogbox "unbekannter Server, wollen sie weitermachen?" wie bei ssh wuerd niemand aergern). Einzige Anforderung an eine CA fuer diese Leute ist: Ein von Browsern automatisch akzeptiertes Zertifikat mit moeglichst wenig Aufwand und Kosten zu bekommen. Und sie haben keinerlei Interesse an irgendwelchen mit amtlichen Ausweis nachgewiesenen oder nachweisbaren Identitaeten. Denn man in the middle Attachen sind weitaus schwieriger als einfach Sniffen. Und sie werden spaetestens beim naechsten Besuch eh gemerkt, weil echte ID der Site nicht mehr die selbige falsche wie vorhin ist. Und der Angriff faellt schnell auf, weil Leute die schon vor der Attacke regelmaessig besuchten schreien wenn sie die falsche ID zu sehen bekommen. Wer weitere Einsichten zu dieser Art "simpler" Kryptographie will, soll das "erstmals ID registrieren, mit einer einzigen Frage" Verfahren von ssh anschauen. Das ist genau wegen derartiger "realistischer" Policy nicht umsonst das erste weit verbreitete Krypto System geworden. SSL wurde dagegen wie PGP/gpg von Paranoikern erfunden, ueberdimensioniert vom Standpunkt der meisten normalen User, und damit unpraktisch. Und ja, ich mach meine Mails ohne SSL, ueber ssh Tunnel, eben weil simpler. ssh-keygen, kopieren, tut. Alles andere ist zuviel Aufwand.