News Google und Mozilla: Neue Bedingungen für Zertifikate

die.foenfrisur

Commodore
Dabei seit
Jan. 2006
Beiträge
4.935
kleiner buchstabensalat im 2ten absatz:

"beispilesweise "

sonst eine gute sache von google und mozilla.
sicher ist sicher ;)

​mfg
 

HighTech-Freak

Commodore
Dabei seit
Juli 2005
Beiträge
4.861
Ja, definitiv eine gute Idee!
Die Laufzeit für Zertifikate sollte mMn ohnehin bei maximal 2 Jahren Nennlaufzeit liegen (praktisch also 25-26Monate)...

MfG, Thomas
 

etking

Commander
Dabei seit
Jan. 2008
Beiträge
2.411
Kürzere Laufzeiten bedeutet nur, dass sich Anwender immer öfter daran gewöhnen, "Ja, Ausnahme bestätigen" bei den Hinweisen zu klicken. Schon heute schaffen es große, seriöse Anbieter und Universitäten nicht, ihre Zertifikate rechtzeitig zu erneuern oder überhaupt ein per Default als vertrauenswürdig eingestuftes Zertifikat zu verwenden. Und solange Angreifer an der Root-CA sitzen oder diese kontrollieren wie wahrscheinlich längst der Fall, nützt die Aktion rein gar nichts und sorgt im Endeffekt sogar für weniger Sicherheit.

Die einzige vertrauenswürdige Root-CA ist die von Achmed und Mustafa, denn die sind wenigstens ehrlich: https://bugzilla.mozilla.org/show_bug.cgi?id=647959
 
Zuletzt bearbeitet:

DocWindows

Rear Admiral
Dabei seit
Mai 2013
Beiträge
5.238
Dann muss die NSA also ihre Fake-Zertifikate öfter erneuern. Und nu?

Weiß nicht wirklich was das bringen soll. Man stellt ein Zertifikat für so und so lange aus und wenn Schindluder damit getrieben wird, der Server offline geht oder der Anbieter es nicht mehr will, dann sperrt man es.
Wo ist da jetzt der Knackpunkt bezüglich Laufzeit?
 

ice-breaker

Commodore
Dabei seit
Nov. 2008
Beiträge
4.133
Das Problem an Root-Zertifikaten, sind die Root-Zertifikate....

Ich kann folgenden Blackhat Vortrag empfehlen:
http://www.youtube.com/watch?v=Z7Wl2FW2TcA


Das geniale:
  1. zeigt eindeutig die Unfähigkeit von Comodo
  2. der Vortragende hat mal den Erfinder von SSL 1.0 kontaktiert, diese ganze Root-Zertifikate Geschichte wurde nur ganz schnell noch eingebaut weil jemand es haben wollte: ne Quick&Dirty Lösung


und da stecken wir ja heute, wir können das aktuelle System nicht abschaffen, ohne ganz TLS zu brechen. und so Ansätze wie der vorgestellte in dem Vortrag kommen nie zum Durchbruch, wenn man sich selbst Plugins installieren muss - obwohl die Idee wirklich gut ist.
 
Top