Am 02.02.2010 01:40, schrieb Matthias Versen: > Das Argument das Zertifikate richtig viel Geld kosten ist heutzutage > nonsens da es kostenlose Zertifikate gibt. > > Wo, außer bei CAcert gibt es gibt es kostenlose X.509 Zertifikate? Ich kenne keine CA die dir die kosten signiert. > Ich persönlich vertraue CaCert Zertifikaten nicht, aber das soll jeder > selber entscheiden. > Ich glaube hier geht beim Thema Zertifikate eineiges durcheinander! X.509 kommt hat ZWEI Funktionen. Zum einenen die Authentifizierung, also um sicherzustellen, dass der Server am anderen Ende der Leitung auch wirklich der ist, der er vorgibt zu sein. Zum anderen um die Daten auf ihrer Reise durch die Weiten des Internets zu verschlüsseln, also sicherzustellen das sie von niemand unberechtigten eingesehen werden können.
Für den ersten Fall brauche in unbedingt ein Zertifikat, das von einer CA signiert ist, der man vertrauen kann. Ob das bei den in den Browsern vorinstallierten root-Zertifikaten immer so der Fall ist, sei mal dahin gestellt. Im zweiten Fall, wenn ich die Daten "nur" verschlüsselt übertragen will, aber dem vermeintlichen Empfänger blind vertraue, dann kann ist es eigentlich egal, ob oder von welcher CA das Zertifikat signiert wurde. Ich nutze lieber auch mal ein nicht (oder von CAcert) signiertes Zertifikat als mein Passwort im Klartext zu übertragen. Es gibt außreichend unsichere Netzwerke, in denen man sich nicht sicher sein kann, dass Benutzernamen und Passwörter, die im Klartext vorbei kommen, nicht mitgesnifft werden (26c3-Netzwerk, Hotel-Wlans, Uninetzwerke, Schulnutze, usw...) Noch ein Absatz zu CACert. Wieso das CACert Root-Zertifikat in den Browsern nicht vorinstalliert ist, ist mir ein Rätsel! Thawte hatte auch mal ein web-of-trust in dem sich User gegenseitig zertifizieren konnten. Das hat zu 99,9% exakt so funktioniert wie das Web-of-Trust von Cacert, nur das die Zertifikate dann von thawte signiert wurden, deren root Zertifikat in nahzu jedem Browser vorhanden ist. thawte hat den Dienst dann eingestellt, als sie gemerkt haben, dass sie sich damit selber das Geschäft kaputt machen! Grüße Nax _______________________________________________ Talk-de mailing list Talk-de@openstreetmap.org http://lists.openstreetmap.org/listinfo/talk-de