[Wien] gueltige SSL Zertifikate fuer FF Server

Matthias Šubik (spam-protected)
Di Mai 17 16:00:25 CEST 2011


On 17.05.2011, at 15:33, (spam-protected) wrote:
> 
...
> 
> Dein Fokus liegt am Betreiber - meiner am Benutzer.

Klar, wobei ich diese Grenze bei Funkfeuer nicht so klar ziehen würde.
Schließlich sind alle "Benutzer" meist Knotenbetreiber. Und die profitieren von CACert für ihre eigenen e-Mail Certs und Knoten. 

> 
> Wenn man die Moeglichkeit zwischen
> - Zeritifikat verursacht Fehlermeldungen
> vs.
> - Zertifikat verursacht keine Fehlermeldung
> hat, dann bin ich fuer letzteres.
Full ACK,
aber dann bin ich dafür https abzustellen, und nur bei vorliegendem SSL Client Zertifikat https einzuschalten. 
Weil SSL immer mehr Fehlermeldungen, Warnung usw. produziert. Schließlich können OCSP Server kurz nicht erreichbar sein, usw. 
Solange wir uns nicht Ians Mantra anschließen "there is only one mode, and it is secure" wird HTTP immer fehlerfreier als HTTPS sein.

> 
> 
>> Aber ich bin voreingenommen, ich bin ein CACert Member.
> 
> Ja sobald ich im From: den Namen eines CAcert Assurers gesehen habe,
> konnt ich mir ungefaehr denken was drin steht ;)
> (Wir haben mal Leute assured.)

Echt? Dumme Frage, aber wer bist Du eigentlich (spam-protected)?
> 
> 
> Zusammengefasst: Ich wollte darlegen dass ich Zertifikate die keine
> Fehlermeldungen verursachen besser finde als welche die welche
> verursachen. Wenn dies angenommen wird und zu einer Verbesserung fuehrt
> - fein.
FULL ACK. Nur über den Weg sind wir noch nicht exakt der gleichen Meinung. Mir wird jedes Mal schlecht, wenn ich einen neuen Computer in den Händen halte, und sehe wem da alles vertraut wird. Und ich meine nicht dem Hersteller selber (Microsoft/Apple/whatever), auch nicht den Alles-für-Geld-CAs (comodo/godaddy/whatever), sondern den CAs mit undurchsichtigem Hintergrund. Da sind Militärs, Provider, Wirtschaftsministerien, Post, Hardwarehersteller. Jetzt gerade geschaut: 167 Wurzelzertifikate in meinem Mac. Bei den anderen OS und Smartphones sieht das nicht besser aus.

Da fließt so viel Geld, und kein Hersteller hat die Courage sich gegen diese Interessen aufzulehnen, und die Zertifikate nur optional oder nach Benutzeraufforderung zu installieren.

> Wenn dies zu keiner Aenderung fuehrt ist das so - ich will hier niemand
> zwanghaft ueberreden. Man hat immer noch die Wahl auf 'Get me out of
> here!' zu klicken.

Richtig. Leider sagen alle "i know the risks", weil sonst könnte es ja nicht passieren, dass ich einen Webshop bei dem ich einkaufe auf ein seit sechs Wochen abgelaufenes Zertifikat hinweisen hab müssen (kein Scherz).

Solange der Benutzer eine Ausnahme hinzufügen kann, solange es Organisationen gibt, die das explizit von ihren Benutzern verlangen, solange ist bei Funkfeuer die Warnung auch ok.

Aber Du hast recht,
wir sollten das regelmäßig überprüfen, ob wir nicht wechseln sollten.

Wann immer Du findest es hat sich was verändert, bring es bitte noch mal in diese Runde ein.

beste Grüße
Matthias






Mehr Informationen über die Mailingliste Wien