News Google und Mozilla: Neue Bedingungen für Zertifikate

[fethomm]

Zertifikatsaussteller und Browser-Hersteller haben Ende 2011 im Rahmen der Baseline Requirements (PDF) des CA/Browserforums beschlossen, dass Zertifikate, die nach dem 1. Juni 2012 ausgestellt wurden und eine Laufzeit von mehr als fünf Jahren haben, nicht mehr akzeptiert werden sollen.

Zur News: Google und Mozilla: Neue Bedingungen für Zertifikate

 

[die.foenfrisur]

kleiner buchstabensalat im 2ten absatz:

"beispilesweise "

sonst eine gute sache von google und mozilla.
sicher ist sicher

​mfg

 

[HighTech-Freak]

Ja, definitiv eine gute Idee!
Die Laufzeit für Zertifikate sollte mMn ohnehin bei maximal 2 Jahren Nennlaufzeit liegen (praktisch also 25-26Monate)...

MfG, Thomas

 

[etking]

Kürzere Laufzeiten bedeutet nur, dass sich Anwender immer öfter daran gewöhnen, "Ja, Ausnahme bestätigen" bei den Hinweisen zu klicken. Schon heute schaffen es große, seriöse Anbieter und Universitäten nicht, ihre Zertifikate rechtzeitig zu erneuern oder überhaupt ein per Default als vertrauenswürdig eingestuftes Zertifikat zu verwenden. Und solange Angreifer an der Root-CA sitzen oder diese kontrollieren wie wahrscheinlich längst der Fall, nützt die Aktion rein gar nichts und sorgt im Endeffekt sogar für weniger Sicherheit.

Die einzige vertrauenswürdige Root-CA ist die von Achmed und Mustafa, denn die sind wenigstens ehrlich: https://bugzilla.mozilla.org/show_bug.cgi?id=647959

 

[DocWindows]

Dann muss die NSA also ihre Fake-Zertifikate öfter erneuern. Und nu?

Weiß nicht wirklich was das bringen soll. Man stellt ein Zertifikat für so und so lange aus und wenn Schindluder damit getrieben wird, der Server offline geht oder der Anbieter es nicht mehr will, dann sperrt man es.
Wo ist da jetzt der Knackpunkt bezüglich Laufzeit?

 

[ice-breaker]

Das Problem an Root-Zertifikaten, sind die Root-Zertifikate....

Ich kann folgenden Blackhat Vortrag empfehlen:
http://www.youtube.com/watch?v=Z7Wl2FW2TcA


Das geniale:

1. zeigt eindeutig die Unfähigkeit von Comodo
2. der Vortragende hat mal den Erfinder von SSL 1.0 kontaktiert, diese ganze Root-Zertifikate Geschichte wurde nur ganz schnell noch eingebaut weil jemand es haben wollte: ne Quick&Dirty Lösung

und da stecken wir ja heute, wir können das aktuelle System nicht abschaffen, ohne ganz TLS zu brechen. und so Ansätze wie der vorgestellte in dem Vortrag kommen nie zum Durchbruch, wenn man sich selbst Plugins installieren muss - obwohl die Idee wirklich gut ist.

 

[mensch183]

Die Laufzeit für Zertifikate sollte mMn ohnehin bei maximal 2 Jahren Nennlaufzeit liegen (praktisch also 25-26Monate)...

Den Snake-Oil-Verkäufern, die Certs verkaufen aber für nichts haften, sind so kurze Laufzeiten natürlich lieb. Bist du beteiligt?