[Wien] lets encrypt

[Clemens Hopfer]

On Donnerstag, 15. März 2018 17:58:27 CET Dr. Michael Kerber wrote:
> Why?
> ist ja sinn eines Wildcard certs. wenn ich es richtig verstehe müsste
> ich um es gültig zu haben ein level höher sein. und für die wildcards
> muss man dns als authorisation nehmen bei letsencrypt.

Die Idee hinter Wildcard-Certs ist, dass ein Server, der z.b. 
<myname>.somedomain.space nicht für jedes neue <myname> jedes mal ein neues 
Zertifikat generieren muss. Aber es ist trotzdem nur ein einzelnes Zertifikat, 
das einen Server(-verbund) nicht verlassen darf, denn mit diesem Key lässt 
sich auch jede andere Kommunikation, die damit verschlüsselt wurde, abhören.

> Ich muss die certs ja in einer organisation auch auf die server mit uu
> unterschiedlichen admins verteilen. Warum sollte die CA dagegen
> vorgehen. die sind ja nicht öffentlich auf der website.

Wir sind keine überschaubare, geschlossene Personengruppe. In dem Moment, wo 
der der key z.B. automatisch verteilt wird, kann man davon ausgehen, dass er 
als öffentlich gilt.
Jede ordentliche CA *muss* in dem Fall das zertifikat widerrufen, wenn es 
davon mitbekommt, bzw. könnte auch jede/r der >200 Funkfeuer Enthusiasten das 
Zertifikat für alle anderen automatisiert wiederrufen lassen. Da lässt sich 
schon mal schwer feststellen, wer das war ;)

Lg,
Clemens
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 195 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.funkfeuer.at/pipermail/wien/attachments/20180315/4f17b0d3/attachment.sig>