[Wien] lets encrypt
Clemens Hopfer
(spam-protected)
Do Mär 15 20:47:14 CET 2018
On Donnerstag, 15. März 2018 17:58:27 CET Dr. Michael Kerber wrote:
> Why?
> ist ja sinn eines Wildcard certs. wenn ich es richtig verstehe müsste
> ich um es gültig zu haben ein level höher sein. und für die wildcards
> muss man dns als authorisation nehmen bei letsencrypt.
Die Idee hinter Wildcard-Certs ist, dass ein Server, der z.b.
<myname>.somedomain.space nicht für jedes neue <myname> jedes mal ein neues
Zertifikat generieren muss. Aber es ist trotzdem nur ein einzelnes Zertifikat,
das einen Server(-verbund) nicht verlassen darf, denn mit diesem Key lässt
sich auch jede andere Kommunikation, die damit verschlüsselt wurde, abhören.
> Ich muss die certs ja in einer organisation auch auf die server mit uu
> unterschiedlichen admins verteilen. Warum sollte die CA dagegen
> vorgehen. die sind ja nicht öffentlich auf der website.
Wir sind keine überschaubare, geschlossene Personengruppe. In dem Moment, wo
der der key z.B. automatisch verteilt wird, kann man davon ausgehen, dass er
als öffentlich gilt.
Jede ordentliche CA *muss* in dem Fall das zertifikat widerrufen, wenn es
davon mitbekommt, bzw. könnte auch jede/r der >200 Funkfeuer Enthusiasten das
Zertifikat für alle anderen automatisiert wiederrufen lassen. Da lässt sich
schon mal schwer feststellen, wer das war ;)
Lg,
Clemens
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 195 bytes
Beschreibung: This is a digitally signed message part.
URL : <http://lists.funkfeuer.at/pipermail/wien/attachments/20180315/4f17b0d3/attachment.sig>
Mehr Informationen über die Mailingliste Wien