On Sun, Oct 05, 2014 at 06:34:38AM +0200, Bernd Wurst wrote: > Wer heute noch für öffentlich abrufbare Seiten selbstsignierte > Zertifikate einsetzt handelt grob fahrlässig, da man die Nutzer so > effektiv gegen Warnungen abstumpft.
Bei der anzahl der geownten CAs und der kaputten Prozesse der CAs ist es völlig egal ob der User alles wegklickt und amit abstumpft oder die CAs Mozilla, Microsoft und Co viel Geld zahlen damit die Warnung unterbleibt. > Man kann sicherlich die CA-Infrastruktur als "broken by design" > bezeichnen und diesem Gewerbe kein Geld zukommen lassen. Aber die Nutzer > zum achtlosen Wegklicken einer Warnung zu erziehen kann nicht die Lösung > sein. Aber zu behaupten das nur weil keine Warnung kommt das sicherer ist ist bullshit. Das heisst lediglich das das Target viel Geld wert ist und man es sich geleistet hat ein kaputtes Zertifikat zu kaufen. Das einzige was da hilft sind so leute wie CACert. Die verlagern das Problem weg von der CA hin zu einem Web of Trust. D.h. die Person ist entscheident und die bestätigung durch mehrere andere. Ja - Das kann man auch ownen - das ist dann aber eher aber dann social engineering und schaded auch dem der da mitmacht. Flo -- Florian Lohoff f...@zz.de
signature.asc
Description: Digital signature
_______________________________________________ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de