hi Miro, Miro Dietiker, MD Systems wrote: > Hi Jörg! > >>>>>Anm.: Selbstsignierte Certs gehen nicht, da diese auf einem >>>>> geonwnten Server ja gefälscht werden können. >>>>> >>>> >>>>Dies versteh ich in diesem Zusammenhang allerdings nicht. >>> >>>Selbstsignierte Certifikate können nicht überprüft werden... >>>Bei einem von einer CA signiertem Cert reicht ein klick zum testen. >> >>Und wer signiert CA cert's? ... >>Es gibt keinen technischen Unterschied zwischen einer Root CA und >>einer eigenen CA (die in dem jeweiligen Kontext ebenso eine Root CA >>darstellt). >>Auch Root CA's sind selbstsigniert, bestenfalls signieren sich die >>Root CA's gegenseitig. Das ist das Wesen einer Root CA, sie steht >>halt an der Wurzel. > > > Für Deinen Fall würde ich einfach allen Roots nicht trauen, > eine eigene Root-CA (ja, mit self-signed-CA) aufsetzen, alle > clients trauen dann explizit nur dieser Root-CA, und sämtliche > Zertifikate für Rechner werden durch diese Root-CA signiert. > > Alle clients kennen also nur deine Root und die Server sind > absolut trusted... (sofern du den Private-Key deiner Root-CA > usw gut aufbewahrst, wie bereits früher vorgeschlagen ;;-) ) > > So ist doch kein Zertifikat fälschbar, oder was stellst du dir da noch > für Hacks vor?
Ich glaube Du verwechselst mich. Ich habe keinen Zweifel an der Sicherheit einer eigenen CA. Eher im Gegenteil ;) > Und ähm ... schöne Festtage! Ja Danke, und ruhige bitte. -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
