Skip to content

Zertifikat-Alarm ...

Gestern Abend habe ich das Zertifikat unserer Verwaltungsdomain auf dem root-Server auf ein CAcert-Zertifikat umgestellt. Daher kann es sein, dass Ihr einen "Zertifikat-Alarm" bekommt, wenn Ihr auf das Blog hier zugreift, da das Tool, dass ich zur Zugriffs-Analyse benutze (Piwik) in der Verwaltungsdomain liegt und diese ausschliesslich per https erreichbar ist.

Um diesen Alarm dauerhaft abzustellen, gibt es zwei Möglichkeiten, das Zertifikat einmalig zu akzeptieren oder generell allen von CAcert signierten Zertifikaten zu vertrauen. Für das zweite müsst Ihr die CAcert-Webseite mit den root-Zertifikaten besuchen, dort das Intermediate Certificate (PEM Format) (Level 3) auswählen und akzeptieren, das Level 1 Root Certificate (PEM Format) könnt Ihr zusätzlich auch akzeptieren, das ist aber für diese Webseite hier nicht nötig.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

ccm am :

*Hast Du Dir schon einmal die kostenlosen Zertifikate von StartSSL angesehen? Diese sind von modernen Browsern über ein Zwischenzertifikat akzeptiert.

Ich bin eigentlich auch Freund des CaCert-Projektes und fleißiger Assurer, jedoch auch Freund davon, mit Verschlüsselung nicht abzuschrecken - mittlerweile ist es in manchen Browsern ja eine Zumutung, ein unbekanntes Zertifikat zu "umgehen".

Dirk Deimeke am :

*Ja, darüber habe ich mir auch Gedanken gemacht und davon abgesehen, da ich den "Assurance-Prozess" bei StartSSL für einen Scherz halte, damit ist gar nicht bewiesen ...

Vielleicht wäre es in meinem Fall sinnvoller, Piwik auf eine andere Domain zu packen, damit gibt es die "Fehlermeldung" nicht.

ccm am :

*Ich habe jetzt für einen Kunden eine Class2 Validation bei StartSSL durchgeführt, um an preiswerte Wildcard-Zertifikate zu kommen, die in der Regel ja noch recht teuer sind - oder oft merkwürdigen Lizenz-Bedingungen unterliegen wie Zahlung nach Prozessoranzahl.

Zur Validierung war es notwendig, dass ich mich prüfen lassen durch E-Mail-Prüfung, Einsenden von Ausweis- und Führerschein-Kopie, sowie Deckblatt einer Telefonrechnung. Danach wurde ich angerufen, nach meinem Geburtstdatum gefragt. Für die Firmenvalidierung war es dann notwendig, eine Vollmacht vom CEO, einen Handelsregisterauszug und eine Kopie des Ausweises des CEO zu senden, woraufhin dieser angerufen und befragt wurde.

Das ist definitiv "hackbar", jedoch mehr als das, was ich bei anderen Anbietern bisher erlebt habe. Dies aber nur bei Class2.

Dirk Deimeke am :

*Oh, da habe ich mich missverständlich ausgedrückt. Es ging um die reine E-Mail-Validierung bei den kostenlosen Zertifikaten.

ccm am :

*Verstehe. Aber CaCert macht da doch auch nicht mehr für ein Zertifikat, oder? Domain hinzufügen => mögliche Mailadresse auswählen => Bestätigungslink klicken.

Dirk Deimeke am :

*Jein, soweit ich weiss, kannst Du nur Zertifikate erstellen lassen, wenn Du eine bestimmte Punktzahl hast. Ich meine 50 Punkte für eine 12 Monate gültige Signatur und 100 Punkte für 24 Monate.

Das heisst aber, dass selbst bei 12 Monaten Gültigkeit wenigstens zwei Beglaubiger Deine Ausweise gesehen haben. Das geht schon einen Schritt weiter.

Ich sehe aber gerade, dass ich falsch gedacht habe. Nach Wikipedia sind es sechs Monate Gültigkeit bei 0-49 Punkte und 24 Monate über fünfzig Punkte. Das werde ich auf der Mailingliste einmal anmerken. Das halte ich für falsch.

Martin am :

*Zertifikate werden sowieso überschätzt:

http://www.eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl

Martin am :

*Zertifikate werden sowieso überschätzt:

http://www.eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl

(Vorliegend allerdings nicht relevant, denke ich … ;-) )

Kommentar schreiben

Gravatar, Favatar, Pavatar, Identica, Twitter, MyBlogLog Autoren-Bilder werden unterstützt.
BBCode-Formatierung erlaubt
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
:'(  :-)  :-|  :-O  :-(  8-)  :-D  :-P  ;-) 
Formular-Optionen