ausblenden > Mac-Software
Frage bezüglich Zertifikate ...
warlord:
Ja, und würden die Stammzertifikate nicht aktualisiert, würde das ja quasi ein Verfallsdatum für Computer bedeuten. Wären die ursprünglich mitgelieferten Zertifikate ausgelaufen, könnte das Gerät nicht mehr für SSL-Verbindungen genutzt werden.
Florian:
Das Problem ist folgendes (aus dem verlinkten Artikel):
--- Zitat ---Es geht hier wohlgemerkt um CAs, die selektiv und quasi unsichtbar auf einzelnen PCs nachinstalliert werden, die bestimmte Zertifikate überprüfen. Das ist etwas ganz anderes als dokumentierte, öffentlich einsehbare Updates der Vertrauensbasis der Krypto-Infrastruktur etwa über den globalen Windows-Update-Mechanismus.
--- Ende Zitat ---
warlord:
Schon klar. Aber was macht das wirklich für einen Unterschied? Auch wenn Zertifikate nur im Rahmen von "öffentlich einsehbaren Updates" aktualisiert würden, hindert den Lieferanten doch nichts und niemanden daran, einzelnen Benutzern selektiv doch etwas anderes zu liefern. Man kann es drehen und wenden wie man will: dem Lieferanten des Root-Zertifikats kann man letztlich immer nur vertrauen. Er hat immer die Möglichkeit, die Sicherheit zu kompromittieren.
MacFlieger:
Ich verstehe den Unterschied auch nicht so ganz. Wobei auch andere Browser es genauso machen und selber Stammzertifikate aktualisieren und nachladen.
Florian:
Mir fiel halt auf, dass Ihr auf diesen Aspekt nicht eingegangen seid, obwohl er der Grund für den Artikel war. Natürlich gibt es schlimmeres, aber das ganze SSL-System basiert auf Vertrauen, und das erreicht man nur mit Transparenz.
--- Zitat von: warlord am Juli 30, 2013, 06:50:38 ---Schon klar. Aber was macht das wirklich für einen Unterschied? Auch wenn Zertifikate nur im Rahmen von "öffentlich einsehbaren Updates" aktualisiert würden, hindert den Lieferanten doch nichts und niemanden daran, einzelnen Benutzern selektiv doch etwas anderes zu liefern.
--- Ende Zitat ---
Das wäre aber ein ganz massive Täuschung, die ordentlich schlechte Presse einbringen würde, falls aufgedeckt. Ich denke sogar, dies wäre illegal.
Klar muss man vertrauen und im Endeffekt kann der OS-Hersteller natürlich immer Hintertürchen öffnen.
--- Zitat von: MacFlieger am Juli 30, 2013, 07:32:07 ---Ich verstehe den Unterschied auch nicht so ganz. Wobei auch andere Browser es genauso machen und selber Stammzertifikate aktualisieren und nachladen.
--- Ende Zitat ---
Wenn dann machen auch sie es falsch. Ich wüsste auch nicht, dass unter OS X bei Bedarf was nachgeladen wird.
Ich verstehe auch nicht die Logik von einer mitgelieferten Liste und einer zusätzlichen.
Es ist ja auch nicht so, dass man ständig die Root-Zertifikate erneuern müsste - jedenfalls wäre es sowieso besser, nicht gleich jede neue CA aufzunehmen und die meisten Root-Zertifikate laufen ja eh Jahrzehnte. Das sollte also in die Release Notes von Updates mit aufgenommen werden. Und so ist es dann auch korrekt.
Generell ist natürlich das ganze SSL-System problematisch, nur haben wir nichts besseres.
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln