[Wien] gueltige SSL Zertifikate fuer FF Server
(spam-protected)
(spam-protected)
Di Mai 17 15:33:40 CEST 2011
On 05/17/11 11:43, Matthias Šubik wrote:
> da CACert auch ein Freiwilligenprojekt wie Funkfeuer ist, gibt es
> aufgrund der gleichen Interessen eine Menge CACert Teilnehmer, und
> sogar einige Mitglieder bei Funkfeuer. Da man als Teilnehmer meistens
> die Rootzertifikate von CACert installiert hat, führen sie bei den
> meisten nur ein einziges Mal nach dem Installieren zu einer
> Fehlermeldung.
- die Verteilung/Installation des CAcert Root Zertifikats erfolgt meiner
Meinung oefter schlecht als dies bei standardmaessig vorinstallierten
der Fall ist
- die Sicherheit der Zertifikate (egal welcher CA) ist ein anderes
Thema, das ich hier nicht wirklich anbrechen will da ein Zertifikat
ohnehin nur so sicher wie die schlechteste (installierte) CA
(auch wenn man nicht Zertifikate einer kompromittierten CA verwendet ist
man durch betroffen).
> Du sprichst sicher startssl an. Leider ist es für uns dann nicht mehr
> möglich mehrere SNI in ein Zertifikat zu bringen. Ein großer Vorteil
> an CACert ist, dass man eben moderne Dinge wie SNI einfach machen
> kann. Auch wild-card-certificates sind für Funkfeuer (als
> CACert-Org-User) möglich. Und die sind dann nicht mehr gratis bei
> startssl.
Dein Fokus liegt am Betreiber - meiner am Benutzer.
Wenn man die Moeglichkeit zwischen
- Zeritifikat verursacht Fehlermeldungen
vs.
- Zertifikat verursacht keine Fehlermeldung
hat, dann bin ich fuer letzteres.
> Aber ich bin voreingenommen, ich bin ein CACert Member.
Ja sobald ich im From: den Namen eines CAcert Assurers gesehen habe,
konnt ich mir ungefaehr denken was drin steht ;)
(Wir haben mal Leute assured.)
Zusammengefasst: Ich wollte darlegen dass ich Zertifikate die keine
Fehlermeldungen verursachen besser finde als welche die welche
verursachen. Wenn dies angenommen wird und zu einer Verbesserung fuehrt
- fein.
Wenn dies zu keiner Aenderung fuehrt ist das so - ich will hier niemand
zwanghaft ueberreden. Man hat immer noch die Wahl auf 'Get me out of
here!' zu klicken.
Mehr Informationen über die Mailingliste Wien