WinFuture-Forum.de: Warum immer noch kein HTTPS? - WinFuture-Forum.de

Zum Inhalt wechseln

Beiträge in diesem Forum erhöhen euren Beitragszähler nicht.
  • 5 Seiten +
  • 1
  • 2
  • 3
  • 4
  • 5

Warum immer noch kein HTTPS?

#31 Mitglied ist offline   Sturmovik 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.776
  • Beigetreten: 10. Januar 08
  • Reputation: 445
  • Geschlecht:unbekannt
  • Wohnort:In Reichweite der Kaffeemaschine
  • Interessen:IT, Luftfahrt, historische Technik

geschrieben 04. August 2018 - 21:41

Ich vertraue in keinem der beiden Faelle. :wink:
Ich sage nur, dass https mit einem wertlosen Zertifikat keine Vertrauensbasis darstellt.

Wenn da nur http genutzt wird, ist das wenigstens ehrlich.
«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)

Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.

True Cloudstorage
0

Anzeige



#32 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 04. August 2018 - 21:59

Eh? Man kann bei LE eine SubCA einrichten, für lau und automatisiert? Echt?


... ... *mind blown*


Gut zu wissen, daß die bei mir auf Untrusted stehen und dank SSL-Proxy auf Case-by-Case Basis freigeschaltet werden müssen.

Ich mein, Wildcards bieten die ja auch an. Viel kaputter geht es ja dann kaum noch.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#33 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 05. August 2018 - 06:03

Beitrag anzeigenZitat (RalphS: 04. August 2018 - 21:59)

Ich mein, Wildcards bieten die ja auch an. Viel kaputter geht es ja dann kaum noch.

Du wirst echt immer ulkiger mit deinen Aussagen. Mittlerweile geh ich davon aus, dass du nur trollen willst.
AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#34 Mitglied ist offline   Kontra! 

  • Gruppe: aktive Mitglieder
  • Beiträge: 30
  • Beigetreten: 29. Juli 18
  • Reputation: 20
  • Geschlecht:unbekannt

geschrieben 05. August 2018 - 07:15

Und ich und ich denke mal auch viele andere gehe davon aus dass dasselbe bei dir der Fall ist. Anschaulicher erklären geht ja nun nicht mehr, die Fakten sind schon recht gut azfbereitet und logisch nachvollziehbar, wenn man sich mal nur etwas bemüht und das ganze prüft wird auch klar ersichtlich dass das alles Hand und Fuß hat. Und etwas Eigeninitiative wird man ja hoffentlich noch erwarten können :rolleyes:
0

#35 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 05. August 2018 - 07:25

Ihr habt bisher entweder nur Fakten gebracht die auch für jedes andere Zertifikat zutreffen oder aber ihr habt euch um den Vergleich mit anderen bezahlten Zertifikaten gedrückt. Es kam bisher absolut nichts, was nur bei den LE Zertifikaten zutrifft und sie deshalb unsicherer als andere macht.
AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#36 Mitglied ist offline   Kontra! 

  • Gruppe: aktive Mitglieder
  • Beiträge: 30
  • Beigetreten: 29. Juli 18
  • Reputation: 20
  • Geschlecht:unbekannt

geschrieben 05. August 2018 - 08:40

Eben doch: LE-Zertifikate sind kostenlos und durch jedermann beantragbar. Es ist total egal ob man Ganove oder ehrlicher Geschäftsmann ist, es gibt keinerlei Prüfung. Alles was vorhanden sein muss ist irgendeine Domain, auf die ich das Zertifikat schreiben lassen kann, und schon erhält man es. Kostenfrei, wenn man will auch automatisiert, ohne auch nur irgendetwas zur Prüfung hinterlegen zu müssen. Also komplett anonym.
Will ich hingegen ein Bezahlzertifikat, muss ich zumindest eine korrekte Bankverbindung abgeben, was es Betrügern zumindest schon mal ein bisschen erschwert. Und will ich wirklich beweisen, dass ich der bin der ich bin, hole ich mir beispielsweise ein Zertifikat von Thawte, da die vor Kauf erst mal eine Schufaprüfung ausführen, ob ich wirklich der bin, der ich zu sein vorgebe, was es Betrügern weiter erschwert ihren zwielichtigen Geschäften nachzugehen. Denn selbst wenn ich da abgezogen werde, so kann doch zumindest der Staatsanwalt dann herausfinden, wer die Domain damals als verschlüsselt deklarierte. Ich finde also zur Not jemanden, den ich verhauen darf. Bei LE-Certs hab ich da keine Chance mehr.
Das ganze bedeutet immer noch nicht dass da eine 100%-Sicherheit gegeben ist, da stimme ich zu. Aber die gibt es nirgendwo im Leben, lediglich beim Tod gibt es die (noch). Aber alleine schon die Tatsache dass es Geld kostet hält viele ab es sich ein Bezahlzertifikat zu holen, nur um eine Betrugsmasche, die vielleicht noch nicht mal die Kosten, die das Zertifikat kostete, abzuziehen.
Mal abgesehen davon, dass die "Sponsoren" der LE-Certs so bekannte Firmen wie Akamai, Cisco, Facebook und Mozilla sind.
Cisco ist das Unternehmen, das sich dabei erwischen ließ vorsätzlich über das Internet zugreifbare Hintertüren in die Firmware der eigenen Netzwerkhardware einprogrammiert zu haben. Und Facebook? Den Datenskandal schon wieder vergessen? Ja, Zertifikate eines der größten Privatsphärenverachter, Internetüberwacher, Datensammler, Menschenvermarkter und Spammer braucht man unbedingt auf dem eigenen Server.
Bitte dann nicht hinterher rumheulen, wenn sich das als die größte Scheiße des Jahrzehnts herausstellt. Ein Gehirn wird durch Benutzung übrigens viel nützlicher.
Ja, wegen mir mag sowas bei einer Webseite wie hier, wo sowieso keine privaten Daten fließen nützlich sein. Hier wird nichts gekauft, es gehen keine sonst wie gearteten privaten Daten über den Tisch. Andererseits ist es bei einer Webseite wie hier eben auch einfach komplett unnötig - wie schon erwähnt, wer hier private Daten angibt ist selber schuld. Und wer Angst um sein Passwort hat sollte sich vielleicht einfach mal fragen, warum das so ist. Wer für jede Seite ein neues Passwort hat braucht diese Bedenken nämlich nicht zu haben. Dann ist es nämlich egal wenn das Passwort hier geklaut wird. Wenn es wirklich der Fall ist schreibt man eben einen Admin an, erklärt die Misere und lässt es zurücksetzen - Fall erledigt. Oder man legt sich eben ein neues Konto an - ist ja nicht so dass da irgendetwas verloren wäre, wenn der Account hier gehackt wird. In 2 Wochen liest den Roman hier beispielsweise sowieso keiner mehr ;)
0

#37 _Osmodia_

  • Gruppe: Gäste

geschrieben 05. August 2018 - 08:44

Mir scheint, hier werden Inhaber-zertifizierte und Domain-zertifizierte Zertifikate verglichen und letztere einfach generell mit Let's Encrypt gleichgesetzt. Das ist natürlich Humbug. Korrekt ist, dass LE nur Domain-zertifizierte Zertifikate anbietet, weil sich Inhaber-zertifizierte Zertifikate nun mal nicht sicher automatisiert ausstellen lassen. Das spricht eigentlich für LE.

Domain-zertifizierte Zertifikate gibt es aber nicht nur von LE, die bietet so ziemlich jeder andere auch an. Und die meisten Zertifikate sind eben auch solche, weil die viel, viel günstiger sind. Inhaber-zertifizierte Zertifikate findet man hauptsächlich auf großen Seiten wie Facebook, Google (ok, die haben sich das selbst ausgestellt...) etc. Die meisten Zertifikate sind lediglich Domain-zertifiziert, egal ob die von LE oder einem anderen ausgestellt wurden. Insofern hat Gispelmob recht, es gibt hier kein einziges handfestes Faktum gegen LE, sondern nur gegen Domain-zertifizierte Zertifikate im Allgemeinen.

Dieser Beitrag wurde von Osmodia bearbeitet: 05. August 2018 - 09:51

0

#38 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 05. August 2018 - 10:12

Beitrag anzeigenZitat (Kontra!: 05. August 2018 - 08:40)

Kostenfrei, wenn man will auch automatisiert, ohne auch nur irgendetwas zur Prüfung hinterlegen zu müssen. Also komplett anonym.

Verstehst du überhaupt wie die eine Domain-validated Certification abläuft?
Es wird eine eMail an die Adresse geschrieben die im whois steht. Es wird eine eMail an die Adresse geschrieben die im Admin Kontakt auf der entsprechenden HP steht und noch 2 weitere Kritierien. Wenn alle 4 OK sind ist die Prüfung bestanden. Was nützt es also als Anon ein Zertifikat zu beantragen, wenn man gar nicht an die eMails rankommt um diese zu beantworten?

Beitrag anzeigenZitat (Kontra!: 05. August 2018 - 08:40)

Will ich hingegen ein Bezahlzertifikat, muss ich zumindest eine korrekte Bankverbindung abgeben, was es Betrügern zumindest schon mal ein bisschen erschwert.

Eine korrekte Bankverbindung kann jeder haben. Sowas ist auch relativ leicht zu bekommen. Wieder nichts.

Beitrag anzeigenZitat (Kontra!: 05. August 2018 - 08:40)

da die vor Kauf erst mal eine Schufaprüfung ausführen, ob ich wirklich der bin, der ich zu sein vorgebe, was es Betrügern weiter erschwert

Die Schufa Prüfung wird durchgeführt zu prüfen ob du überhaupt in der Lage bist zu bezahlen. Für nichts anderes.

Beitrag anzeigenZitat (Kontra!: 05. August 2018 - 08:40)

so kann doch zumindest der Staatsanwalt dann herausfinden, wer die Domain damals als verschlüsselt deklarierte. Ich finde also zur Not jemanden, den ich verhauen darf. Bei LE-Certs hab ich da keine Chance mehr.

Der Staatsanwalt interessiert sich nur dafür wenn es sich um ein Verbrechen gegen den Staat handelt oder wenn öffentliches Interesse besteht. Ansonsten sind es Richter.

Gehen wir zurück zum Punkt 1. Im whois steht auch eine Kontaktadresse die jeder angeben muss wenn er eine Domain anmeldet (und bevor du jetzt wieder mit irgendetwas kommst, die Adresse wird vom Domainregistrar geprüft in dem er mit der Adresse schriftlichen Kontakt hat und natürlich will der Domainregistrar auch eine gültige Bankverbindung sehen) An diese gültige Kontaktadresse kann man sich im Falle von LE Zertifikaten wenden und zur Not auch über die Kontaktdaten der Bankverbindung. Schön ausgedacht, aber leider falsch.

Beitrag anzeigenZitat (Osmodia: 05. August 2018 - 08:44)

es gibt hier kein einziges handfestes Faktum gegen LE, sondern nur gegen Domain-zertifizierte Zertifikate im Allgemeinen.

Sagen wir mal so. Die vorherrschende Meinung ist: Es steht LE dran und das muss per Definition schlecht sein. Das andere die gleichen Zertifikate anbieten, dafür aber Geld verlangen wird schlicht ignoriert.
AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#39 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 05. August 2018 - 10:27

Echt, so viel geballte Keineahnung und Falschahnung zum Thema SSL sieht man selten auf einen Haufen... auch wenn natürlich klar ist, daß das kaum einer begreift; sei's drum... aber das so zu sehen, das ist noch mal was anderes.

Vielleicht nochmal von den Grundlagen her in wenigen, kurzen Worten.

- Sicherheit und Bequemlichkeit schließen sich aus. Automatismen dienen insbesondere der Bequemlichkeit, werden also immer Abstriche bei der Sicherheit machen müssen.

- Sicherheit ist eine Funktion der Zeit: die Frage kann und darf nicht lauten 'ist mein Schloß unknackbar?' sondern darf bestenfalls als 'wie lange wird mein Schloß widerstehen können?' verstanden werden.

- Demgegenüber steht aber Vertrauen, implizit wie auch explizit: Je länger ich eine ganz konkrete Sache kenne, desto eher vertraue ich ihr ("neumodischer Kram, einself"). Das gilt aber auch für Zertifikate: wenn ich jeden Tag einen neuen Zertifikat vertrauen soll, wird es irgendwann passieren, daß mir ein falsches Zertifikat untergeschoben werden wird, dem ich routinemäßig (statt geprüft) vertraue.

- Zertifikate müssen daher einen gangbaren Weg finden zwischen "wie lang hält das zuverlässig' in einem kryptographischen Kontext (bis es gefälscht werden kann) und 'inwieweit kann ich einem spezifischen Zertifikat vertrauen'.

Daß das heutzutage Browsserhersteller machen, geschenkt, Microsoft und Google und Apple wissen sowieso besser als wir, wie es richtig geht (Selber denken ist sooooooo altmodisch).


Es muß aber dennoch klar sein. Jedes Authentifizierungssystem lebt von der Prüfung. Wäre das anders, könnten wir beim Bürgeramt vorbeischauen und einen Perso aus der Grabbelkiste nehmen, Euro bezahlen für Materialkosten und wieder raus da.

Wenn wir DV wörtlich nehmen - Domain von lat. Haus, also da wo ich wohne, dann bräuchten wir für Persos auch nur hingehen, sagen wie wir heißen, die Dame schaut dann unter dem angegebenen Namen nach ("ah da isser ja") und händigt uns DANN den Perso sofort aus. Obolus vielleicht zwei Euro, weil sie mußte ja noch Excel starten, Crtl-F drücken und ein paar Buchstaben eingeben.



Da frag ich mich doch, warum die in den deutschen Kommunen das nicht schon vor Jahrzehnten begriffen haben, daß sie sich viel zu viel Aufwand machen.

Dieser Beitrag wurde von RalphS bearbeitet: 05. August 2018 - 10:28

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
1

#40 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 05. August 2018 - 10:37

Beitrag anzeigenZitat (RalphS: 05. August 2018 - 10:27)

Echt, so viel geballte Keineahnung und Falschahnung zum Thema SSL sieht man selten auf einen Haufen

Das Thema hatten wir schon. Du bist der Doktorallwissend, der uns kleinen Wichten mal so richtig die Meinung sagt. Natürlich willst du uns nicht mit fachlichen Details und Beweisen langweilen, sondern übst dich lieber in allgemeinen Behauptungen die du natürlich in keiner Weise begründen musst.

Dieser Beitrag wurde von Gispelmob bearbeitet: 05. August 2018 - 10:39

AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#41 Mitglied ist offline   Sturmovik 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.776
  • Beigetreten: 10. Januar 08
  • Reputation: 445
  • Geschlecht:unbekannt
  • Wohnort:In Reichweite der Kaffeemaschine
  • Interessen:IT, Luftfahrt, historische Technik

geschrieben 05. August 2018 - 10:46

Du lieferst grade selbst die Argumente gegen das automatisierte Verfahren von LE :rolleyes:

 Zitat (Gispelmob: 05. August 2018 - 10:12)

Es wird eine eMail an die Adresse geschrieben die im whois steht.

Passiert bei DV, aber nicht bei LE. Ich habe zumindest noch keine Mail von denen bekommen. (ja, ich oute mich hier, dass ich trotz der Kritik am System Zertifikate von denen benutze.)

N.B. seit endgueltigem Inkrafttreten der DGSVO ist auch dieser Punkt fraglich, denn zumindest DENIC gibt derartige Daten nicht mehr an jeden heraus. Interessanterweise steht in der Liste, wer unter welchen Bedingungen die whois-Daten einsehen darf, nichts von Zertifikatsausstellung und dergleichen. Link
Allerdings habe ich schon laenger kein DV-Zertifikat mehr erworben, daher kann ich hier nur spekulieren.

EDIT: grad mal nachgeschaut... der echte technische Kontakt ist zwar nicht mehr oeffentlich, aber mittlerweile wenigstens wieder eine Mailadresse fuer abuse und generelle Anfragen.

Zitat

Es wird eine eMail an die Adresse geschrieben die im Admin Kontakt auf der entsprechenden HP steht

Falsch. Es wird eine Mail an den Adminkontakt geschrieben, der im Certificate Signing Request steht.
Ein Adminkontakt auf der Homepage ist nicht notwendig (ausserhalb des Geltungsbereichs deutscher Gesetzgebung muss es auch keine Kontaktangaben/Impressum auf Websites geben), es ist noch nichtmal eine funktionierende Homepage notwendig.

Zitat

Was nützt es also als Anon ein Zertifikat zu beantragen, wenn man gar nicht an die eMails rankommt um diese zu beantworten?

Mit etwas Aufwand geht das schon. Aber du kommst dann gleich wieder mit "Lernt man ja in der Schule" usw.

Zitat

Sagen wir mal so. Die vorherrschende Meinung ist: Es steht LE dran und das muss per Definition schlecht sein. Das andere die gleichen Zertifikate anbieten, dafür aber Geld verlangen wird schlicht ignoriert.

Die Identitaetspruefung bei DV-Zertifikaten fuer Geld ist schon nicht gut, dieses bestehende Verfahren wird durch den Automatismus von LE noch weiter aufgeweicht.

Dass die anderen CA's dafuer i.d.R. Geld verlangen, stellt meines Erachtens neben der laengeren Zeitdauer und der geringfuegigen Identitaetspruefung noch eine weitere Huerde fuer Missbrauch dar.

Dieser Beitrag wurde von Sturmovik bearbeitet: 05. August 2018 - 10:51

«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)

Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.

True Cloudstorage
2

#42 _Osmodia_

  • Gruppe: Gäste

geschrieben 05. August 2018 - 11:20

Beitrag anzeigenZitat (Sturmovik: 05. August 2018 - 10:46)

Die Identitaetspruefung bei DV-Zertifikaten fuer Geld ist schon nicht gut, dieses bestehende Verfahren wird durch den Automatismus von LE noch weiter aufgeweicht.

Es gibt bei DV-Zertifikaten keine Identitätsprüfung! Es wird nur geprüft, ob derjenige die Verfügungsgewalt über die Domain hat. Normal läuft das über E-Mail, bei LE über einen Token. Dass du bei kostenpflichtigen DV-Zertifikaten Bank-Daten o.ä. angeben musst, ist irrelevant, da kein Abgleich mit den Domain-Daten stattfindet. Zum einen, weil das bei DV-Zertifikaten nun mal eben nicht Teil des Prozesses ist, zum anderen, weil das auch gar nicht geht. Man stelle sich eine Firma vor, die für Kunden Domains registriert. Inhaber ist der Kunde, für Domain und Zertifikat zahlen tut aber die Firma.

Dieser Beitrag wurde von Osmodia bearbeitet: 05. August 2018 - 11:21

0

#43 Mitglied ist offline   Sturmovik 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.776
  • Beigetreten: 10. Januar 08
  • Reputation: 445
  • Geschlecht:unbekannt
  • Wohnort:In Reichweite der Kaffeemaschine
  • Interessen:IT, Luftfahrt, historische Technik

geschrieben 05. August 2018 - 11:26

 Zitat (Osmodia: 05. August 2018 - 11:20)

Es gibt bei DV-Zertifikaten keine Identitätsprüfung! Es wird nur geprüft, ob derjenige die Verfügungsgewalt über die Domain hat. Normal läuft das über E-Mail, bei LE über einen Token.

Eben das meinte ich mit der Identitaetspruefung. Entschuldige die ungenaue Ausdrucksweise, aber es ist letzlich doch eine Pruefung, ob Zertifikatsbeantrager und Domaininhaber uebereinstimmen. Also im weitesten Sinne doch eine Identitaetspruefung.

Zitat

Dass du bei kostenpflichtigen DV-Zertifikaten Bank-Daten o.ä. angeben musst, ist irrelevant, da kein Abgleich mit den Domain-Daten stattfindet. Zum einen, weil das bei DV-Zertifikaten nun mal eben nicht Teil des Prozesses ist, zum anderen, weil das auch gar nicht geht.
Ist wohl ebenfalls der ungenauen Ausdrucksweise zu verdanken. Wobei der Abgleich der Bankdaten rein theoretisch eine interessante Erweiterung der Pruefung waeren, was aber aus Gruenden, die du im naechsten Absatz ansprichst, schwierig wird.

Zitat

Man stelle sich eine Firma vor, die für Kunden Domains registriert. Inhaber ist der Kunde, für Domain und Zertifikat zahlen tut aber die Firma.

Ich habe bis vor kurzem bei einer derartigen Firma gearbeitet :wink:
«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)

Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.

True Cloudstorage
0

#44 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 05. August 2018 - 11:29

Beitrag anzeigenZitat (Sturmovik: 05. August 2018 - 10:46)

Falsch. Es wird eine Mail an den Adminkontakt geschrieben, der im Certificate Signing Request steht.

Nö.
Antwort auf E-Mails an einen bekannten administrativen Ansprechpartner in der Domain, z.B. (admin@, postmaster@, etc.)

Wenn an den Kontakt im Request geschrieben wird, ist das falsch implementiert. Es müsste an den Kontakt der Domain gehen.

Um das mal zusammenzufassen. LE automatisiert das was andere CAs mit dem Einsatz von Menschen machen. Die nutzen allerdings auch Tools dafür und suchen nicht per Hand in Stapeln Papier. Nur wenn man viel Geld in die Zertifikate investiert, gibt es eine erweiterte Prüfung. Ansonsten bekommt man die gleiche Standardkost wie bei LE, nur eben mit dem Einsatz von Menschen erzeugt und nicht automatisch.

Wenn man jetzt meint die günstigen und kostenlosen Zertifikate wären nichts wert, dann übersieht man vollkommen die Tatsache dass auch die günstigen Zertifikate eine ausreichende Transportverschlüsselung den Inhalts ermöglichen. Nicht mehr und nicht weniger. Das die Webseiten/Browser dann unter Umständen noch PKP und andere Techniken integrieren müssen, das hat nichts mit dem Zertifikat zu tun.

Dieser Beitrag wurde von Gispelmob bearbeitet: 05. August 2018 - 11:37

AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#45 Mitglied ist offline   Sturmovik 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.776
  • Beigetreten: 10. Januar 08
  • Reputation: 445
  • Geschlecht:unbekannt
  • Wohnort:In Reichweite der Kaffeemaschine
  • Interessen:IT, Luftfahrt, historische Technik

geschrieben 05. August 2018 - 11:41

 Zitat (Gispelmob: 05. August 2018 - 10:12)

Es wird eine eMail an die Adresse geschrieben die im Admin Kontakt auf der entsprechenden HP steht

 Zitat (Gispelmob: 05. August 2018 - 11:29)

Nö.
Antwort auf E-Mails an einen bekannten administrativen Ansprechpartner in der Domain, z.B. (admin@, postmaster@, etc.)


Hat nichts mit einer Homepage zu tun. Das sind Standard-Empfaenger einer Domain.

Zitat

Um das mal zusammenzufassen. LE automatisiert das was andere CAs mit dem Einsatz von Menschen machen. Die nutzen allerdings auch Tools dafür und suchen nicht per Hand in Stapeln Papier. Nur wenn man viel Geld in die Zertifikate investiert, gibt es eine erweiterte Prüfung. Ansonsten bekommt man die gleiche Standardkost wie bei LE, nur eben mit dem Einsatz von Menschen erzeugt und nicht automatisch.

Und nebenbei wird auf einen Teil der Pruefungen, die bei DV erfolgen, verzichtet.

Zitat

Wenn man jetzt meint die günstigen und kostenlosen Zertifikate wären nichts wert, dann übersieht man vollkommen die Tatsache dass auch die günstigen Zertifikate eine ausreichende Transportverschlüsselung den Inhalts ermöglichen. Nicht mehr und nicht weniger. Das die Webseiten/Browser dann unter Umständen noch PKP und andere Techniken integrieren müssen, das hat nichts mit dem Zertifikat zu tun.

Nichts anderes schrieb ich gestern. Die Transportverschluesselung nuetzt allerdings nichts, wenn die Daten beim falschen landen.

Dieser Beitrag wurde von Sturmovik bearbeitet: 05. August 2018 - 11:42

«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)

Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.

True Cloudstorage
0

Thema verteilen:


  • 5 Seiten +
  • 1
  • 2
  • 3
  • 4
  • 5

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0