On Tue, Aug 16, 2016 at 11:28:07AM +0200, Martin Koppenhoefer wrote: > > > sent from a phone > > > Il giorno 16 ago 2016, alle ore 09:52, lars lingner > > <gislars+l...@gmail.com> ha scritto: > > > > Die richtige Lösung ist aber auf dem Server ein gültiges Zertifikat zu > > hinterlegen. > > > ein Zertifikat dass keine Warnung generiert ist nicht "richtiger" als eins > mit Warnung, es wurde lediglich von einer CA ausgestellt, die im Browser als > vertrauenswürdig voreingestellt ist, aber solche CAs wurden in der > Vergangenheit auch schon öfters kompromittiert, sind zudem oft amerikanische > Firmen und von daher aufgrund der dortigen Rechtslage per se nicht > vertrauenswürdig.
[wildly OT] ... wenn das nur die amerikanischen Firmen wären. Wenn man sich das root CA Verzeichniss von den Browsern/Betrbiebssystemen ansieht sind dort Behörden/Firmen aus etlichen für Folter und schlimmeres berüchtigten Länder vertreten. Das Fatale - jede dieser CAs kann nicht nur für ihre kleine Absurdistanenklave "gültige" Zertifikate generieren sondern jedezeit unbemerkt(*) ein gültiges fake Zertifikat für Google, OSM und die deutsche Sparkasse ausstellen. Übrigens... wer hat hier sein vollstes Vertrauen in ein "Deutsche Telekom Root CA"? Richard (*) es besteht neuerdings die Pflicht ausgestellte Zertifikate in einem globalen Log einzutragen kann aber dauern bis das auch funktioniert _______________________________________________ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de