On Wed, Mar 03, 2010 at 11:15:24AM +0100, Rainer Sokoll wrote:
>
> Was ist an der Lösung mit Verwendung von X509v3 Subject Alternative Name
> "unzuverlässiges Gebastel"?
> Ernstgemeinte Frage, nicht polemisch gemeint.
Ok, das war eher von mir polemisch.
Der Punkt ist: Im ursprünglichen und etablierten Standard war das nicht
vorgesehen.
Aus gutem Grund sollte die Zuordnung zwischen IP, Hostname und Zertifikat
eindeutig sein. Die Zuordnung zur IP ist natürlich von SSL unabhängig und
erfolgt
über DNS. Hier soll DNSSEC eine logischere Aufteilung der Zuständigkeiten
bringen.
Und nun wollen immer mehr Leute dass es halt irgendwie doch geht. Bis
sich das überall durchgesetzt hat, so dass es problemlos benutzt werden
könnte, ist https vermutlich schon reif für die Ablösung durch einen
Nachfolger (Wie z.B. die Neuverteilung der "Zuständigkeiten" auf DNSSEC
und PGP)
Dieses "Fixen in letzter Minute" sieht für mich halt
ein wenig nach Notlösung und "Torschlusspanik" aus, die dem
primären Ziel "Sicherheit" zu bieten, eher abträglich ist.
Durch die Wildcards ist es einem Angreifer halt viel einfach gemacht.
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an [email protected]
sonstige Anfragen an [email protected]
--------------------------------------------------------------------------
