Hallo,
Am 04/12/2014 02:35 PM, schrieb Mathias Mahnke: > Hi Jan, > > Am 12.04.14 13:46, schrieb Jan Lühr: > >> Eine Idee ist, CAcert-Zertifikate zu verwenden und die Nutzer zur >> Installation des CAcert-Rootzertifikats aufzufordern. > > Eine schoene Idee. > >> Hierbei sehe ich zwei Probleme: >> -> Wir empfehlen den Benutzern etwas, was die CA selber nicht möchte. >> Sie zog ihren Antrag in die Aufnahme von Firefox wg. eines fehlenden >> Audits zurück. > > Ich glaube hier hast du etwas aus dem Zusammenhang gerissen. Es gibt > sehr wohl - und auch ganz frische - Audit Aktivitaeten. Das sollte aber > fuer die interne Nutzung, z.B. bei Freifunk, eher unerheblich sein. > >> -> Wir haben z.T Assurer in unserer Freifunk-Community. Damit haben >> einige Mitglieder sehr viel Macht >> Sie könnten einfach mitm-Attacken starten. > > Auch hier scheint mir ein Missverstaendniss vorzuliegen. (...) Ja. Meine Sorge ist: -> Freifunker erstellt ein valides Zertifikat für web.de -> Verwendet dieses Zertifikat auf seinem Server, der als Proxy für web.de agiert -> Biegt über routing / firewalling Zugriffe darauf um. Ich möchte nicht, dass ein Freifunker, der Infrastruktur betreibt diesen Angriff durchführen kann. >> Das Problem ließe sich relativ elegant lösen, indem wir eine andere CA >> verwenden. > > IMHO: Die Entscheidung welche CA - jeder muss du irgendwie "vertrauen" > (mehr oder minder blind) und administriert werden (shared access?). Ob > es nun die eigenen oder eine von CAcert ist, ist vermutlich eher eine > andere Frage. Genau. CAs, die das og. Problem haben, vertraue ich nicht. > > Selber machen geht auch sehr gut, so machen wir es bei uns in Rostock: > > http://wiki.opennet-initiative.de/wiki/Opennet_CA > http://wiki.opennet-initiative.de/wiki/Server_Installation/Opennet_CA > > Das ist vermutlich mehr als man fuer deinen Fall braucht, aber als Anregung. Selber machen hat imho genau das og. Problem. Gruß, Jan _______________________________________________ WLANtalk mailing list [email protected] Abonnement abbestellen? -> http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung unter http://freifunk.net/mailinglisten
