this post was submitted on 17 Apr 2024
89 points (100.0% liked)

DACH - jetzt auf feddit.org

8713 readers
1 users here now

Diese Community wird zum 01.07 auf read-only gestellt. Durch die anhäufenden IT-Probleme und der fehlende Support wechseln wir als Community auf www.feddit.org/c/dach - Ihr seid herzlich eingeladen auch dort weiter zu diskutieren!

Das Sammelbecken auf feddit für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.

Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:

Eine ausführliche Sidebar findet ihr hier: Infothread: Regeln, Feedback & sonstige Infos

Auch hier gelten die Serverregeln von https://feddit.de !

Banner: SirSamuelVimes

founded 1 year ago
MODERATORS
you are viewing a single comment's thread
view the rest of the comments
[–] aaaaaaaaargh@feddit.de 2 points 6 months ago (1 children)

Also das sehe ich schon sehr anders, allein, wenn ich an SSH denke. Und ungesichertes HTTP möchte ich - Zertifikatsstelle hin oder her - ganz sicher nicht. Es liegt doch am Nutzer selbst, man kann in den meisten Browsern und Systemen auch die CAs entfernen, die man selbst nicht will.

[–] trollercoaster@sh.itjust.works 3 points 6 months ago (1 children)

SSH macht es halt richtig, aber SSH ist keine wirkliche Mainstream-Anwendung.

Der durchschnittliche Nutzer ist bestenfalls gerade mal in der Lage, sein Gerät ohne fremde Hilfe einzuschalten. Irgendwelche CAs zu beurteilen und zu entfernen dürfte deren Fähigkeiten leicht übersteigen.

[–] aaaaaaaaargh@feddit.de 2 points 6 months ago (1 children)

Das ist korrekt, aber dann zeichnest du für meinen Geschmack das Problem am falschen Ort. TLS kann ja nichts dafür, wenn CAs zu freizügig vertraut wird.

Davon abgesehen, das würde mich wirklich interessieren: welche fragwürdigen CAs meinst du denn, denen vertraut wird?

[–] trollercoaster@sh.itjust.works 1 points 6 months ago (1 children)

welche fragwürdigen CAs meinst du denn, denen vertraut wird?

Alle staatlichen zum Beispiel.

[–] aaaaaaaaargh@feddit.de 2 points 6 months ago* (last edited 6 months ago) (1 children)

Welche sind das? Will dich nicht mit der Frage hinters Licht führen, aber ich brauche mal nen Anhaltspunkt, damit ich mir das gleich mal ansehen kann anstatt zu arbeiten.

update: also bund.de nutzt z.B. D-Trust, was der Bundesdruckerei gehört. Das halte ich schon für vertrauenswürdig. Ich dachte jetzt eigentlich eher, dass du zwielichtige Privatunternehmen meinst.

[–] trollercoaster@sh.itjust.works 2 points 6 months ago* (last edited 6 months ago) (1 children)

Hab da gerade mal in nen Firefox reingeschaut, bin aber nicht mehr zu 100% sicher, ob ich den nicht schon mal ausgemistet hatte, denn da waren nur noch wenige eindeutig staatlichen Zertifizierer drin:

  • TunTrust Root CA ausgestellt von der Agence Nationale de Certification Electronique in Tunesien
  • Staat der Nederlanden Root CA - G3 ausgestellt vom Niederländischen Staat

Leider haben auch die kommerziellen Zertifizierer gerne Namen, die irgendwie "offiziell" klingen, ist also teilweise schwierig zu unterscheiden.

Außerdem gibt es ja auch noch staatsnahe gewerbliche Dienstleister, z.B. T-Systems in Deutschland. Bei denen würde es mich sehr wundern, wenn sie nicht auf Zuruf Fake-Zertifikate für diverse Dienste und Polizeien austellen würden.

Update:

Das halte ich schon für vertrauenswürdig

Staatliche Zertifizierer sind insofern vertrauenswürdig, dass sie Zertifikate für staatliche Stellen ausstellen. Ob das jetzt für irgendein normales staatliches Angebot ist, oder für irgendeinen Geheimdienst oder sonstige Ermittlungsbehörden,ist aber eine ganz andere Frage.