Mir fiel halt auf, dass Ihr auf diesen Aspekt nicht eingegangen seid, obwohl er der Grund für den Artikel war. Natürlich gibt es schlimmeres, aber das ganze SSL-System basiert auf Vertrauen, und das erreicht man nur mit Transparenz.
Schon klar. Aber was macht das wirklich für einen Unterschied? Auch wenn Zertifikate nur im Rahmen von "öffentlich einsehbaren Updates" aktualisiert würden, hindert den Lieferanten doch nichts und niemanden daran, einzelnen Benutzern selektiv doch etwas anderes zu liefern.
Das wäre aber ein ganz massive Täuschung, die ordentlich schlechte Presse einbringen würde, falls aufgedeckt. Ich denke sogar, dies wäre illegal.
Klar muss man vertrauen und im Endeffekt kann der OS-Hersteller natürlich immer Hintertürchen öffnen.
Ich verstehe den Unterschied auch nicht so ganz. Wobei auch andere Browser es genauso machen und selber Stammzertifikate aktualisieren und nachladen.
Wenn dann machen auch sie es falsch. Ich wüsste auch nicht, dass unter OS X bei Bedarf was nachgeladen wird.
Ich verstehe auch nicht die Logik von einer mitgelieferten Liste und einer zusätzlichen.
Es ist ja auch nicht so, dass man
ständig die Root-Zertifikate erneuern müsste - jedenfalls wäre es sowieso besser, nicht gleich jede neue CA aufzunehmen und die meisten Root-Zertifikate laufen ja eh Jahrzehnte. Das sollte also in die Release Notes von Updates mit aufgenommen werden. Und so ist es dann auch korrekt.
Generell ist natürlich das ganze SSL-System problematisch, nur haben wir nichts besseres.