Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung | |
| public:die_sache_mit_den_zertifikaten [2018/06/28 13:55] – Verweis auf Let's Encrypt hinzugefügt simon@datenkollektiv.net | public:die_sache_mit_den_zertifikaten [2018/08/07 17:11] (aktuell) – jankow@datenkollektiv.net |
|---|
| In der Tat gibt es mittlerweile einige Trustcenter, die als "kompromittiert" gelten((http://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff \\ http://www.heise.de/security/meldung/DigiNotar-Hack-Kritische-Infrastruktur-war-unzureichend-geschuetzt-1337378.html \\ http://www.golem.de/1106/84369.html \\ http://www.golem.de/news/kaspersky-lab-wie-sich-geheimdienst-selbst-legitime-zertifikate-ausstellen-1308-101036.html)). Das heißt, deren Stammzertifikate sind mal in die falschen Hände gekommen und sind daher nicht mehr sicher. Und damit auch all die von diesen Stellen signierten Zertifikate. Trotzdem geht das Geschäft oft weiter - die Trustcenter sind schlicht und einfach "too big to fail" (das kennen wir auch von Banken ;-)). Wenn die Browser-Hersteller diese Zertifikate aus den Browsern entfernen würden, würde schlicht und einfach eine Menge im Internet (Internetbanking, Onlineshops, etc.) nicht mehr funktionieren. Daher bleiben sie drinnen. | In der Tat gibt es mittlerweile einige Trustcenter, die als "kompromittiert" gelten((http://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff \\ http://www.heise.de/security/meldung/DigiNotar-Hack-Kritische-Infrastruktur-war-unzureichend-geschuetzt-1337378.html \\ http://www.golem.de/1106/84369.html \\ http://www.golem.de/news/kaspersky-lab-wie-sich-geheimdienst-selbst-legitime-zertifikate-ausstellen-1308-101036.html)). Das heißt, deren Stammzertifikate sind mal in die falschen Hände gekommen und sind daher nicht mehr sicher. Und damit auch all die von diesen Stellen signierten Zertifikate. Trotzdem geht das Geschäft oft weiter - die Trustcenter sind schlicht und einfach "too big to fail" (das kennen wir auch von Banken ;-)). Wenn die Browser-Hersteller diese Zertifikate aus den Browsern entfernen würden, würde schlicht und einfach eine Menge im Internet (Internetbanking, Onlineshops, etc.) nicht mehr funktionieren. Daher bleiben sie drinnen. |
| |
| Wir haben lange überlegt, wie wir das Problem mit den Zertifikaten lösen sollen. Deshalb haben wir früher unser eigenes "Trustcenter" betrieben. 2016 haben dann unter Anderem die [[https://www.eff.org/|EFF]] und [[https://www.mozilla.org/de/|Mozilla]] das Projekt [[https://letsencrypt.org/|Let's Encrypt]] initiiert. Seit dem gibt es ein standartmäßig installiertes "Trustcenter", welches massenhaft und kostenlos Zertifikate ausstellt und damit eine weitere Verbreitung von Verschlüsselung ermöglicht. Im Mai 2018 haben wir unsere Infrastruktur auf ein Let's Encrypt Zertifikat umgestellt, um den Aufwand der Installation und Authentifizierung unseres Wurzelzertifikats zu ersparen. | Wir haben lange überlegt, wie wir das Problem mit den Zertifikaten lösen sollen. Deshalb haben wir früher unser eigenes "Trustcenter" betrieben. Das hat aber nicht nur uns viel Arbeit gemacht - es war auch nicht besonders User*innen-freundlich. Das Thema Zertifikat war daher immer Support-Thema Nr. 1. |
| | |
| | 2016 haben dann unter Anderem die [[https://www.eff.org/|EFF]] und [[https://www.mozilla.org/de/|Mozilla]] das Projekt [[https://letsencrypt.org/|Let's Encrypt]] initiiert. Seit dem gibt es ein standartmäßig installiertes "Trustcenter", welches massenhaft und kostenlos Zertifikate ausstellt und damit eine weitere Verbreitung von Verschlüsselung ermöglicht. Im Mai 2018 haben wir unsere Infrastruktur auf ein Let's Encrypt Zertifikat umgestellt, um den Aufwand der Installation und Authentifizierung unseres Wurzelzertifikats zu ersparen. Natürlich bleiben einige Probleme: auch dieses Trustcenter könnte kompromitiert sein, etc. Wir denken aber, dies ist aktuell ein vertretbarer Kompromiss zwischen Benutzer*innenfreundlichkeit und Sicherheit. |
| |