kostenlose SSL-Zertifikate ?

[r00ty]

Hi Leute !
Letzt ging über den Heise-Newsticker folgende Nachricht:
http://www.heise.de/newsticker/meldung/56750

Code: Select all

Website-Betreibern, die Nutzerdaten SSL-verschlüsselt entgegennehmen kann man vertrauen, heisst es immer wieder. Das könnte bald nur noch bedingt gelten. Einige Anbieter stellen SSL-Website-Zertifikate ohne jede Authentifizierung des Antragstellers bereit....

Leider bin ich nicht ganz schlau geworden. Deshalb hier die Frage:
Wenn ich mir ein solches Zertifikat mache kommt dann nicht mehr überall die Meldung dass es ein unglaubwürdiges Zertifikat darstellt, wenn die Leute ihre Mails abholen oder SSL-Gesicherte Seiten abrufen ?
Klar ist es dann mein Problem ob ich der Stelle traue von dem ich das Zertifikat bekomme. Allerdings finde ich den CCC schon recht vertrauenswürdig was da angeht.
Wäre cool den einen oder anderne Kommentar dazu zu hören...

[manfred, das mammut]

Mein privater Server habe ich mit Zertifikaten von CAcert ausgestattet. Die führen immerhin eine kleine Ã?berprüfung durch, auch wenn diese nicht im geringsten mit der Ã?berprüfung von VeriSign und Konsorten vergleichbar ist.

Was die Fehlermeldungen angeht: Erstmal die User dazu bringen, das Root-Zertifikat der Zertitizierungsstelle (CCC, CAcert etc.) zu akzeptieren. Dann sind sämtliche Unterzertifikate der CA als sicher eingestuft und dürften nicht mehr zu Fehlermeldungen führen.
Aber beim ersten Besuch sehen die meisten Besucher eine Fehlermeldung.

Die meisten SSL-Zertifikate stellen ja nicht nur sicher, dass keiner die Ã?bertragung abhören kann, sondern auch, dass man genau weiss, wem man seine Daten übergegeben hat. Die CCC-Certs stellen nur ersteres sicher und CAcert bietet beide Sachen an, allerdings ist die Verifizierung des Cert-Antragstellers optional.

[oxygen]

Eine Verschlüsselung ohne Ã?berprüfung des Gegenüber ist immer noch besser, als keine Verschlüsselung.

[nyxus]

Eine Verschlüsselung ohne Ã?berprüfung des Gegenüber ist immer noch besser, als keine Verschlüsselung.

was nuetzt Dir die beste Verschluesselung mit Deinem Gegenueber wenn Du nicht weisst wer der Gegenueber ist?

[manfred, das mammut]

Kommt auf die Anwendung an: Wenn ich sensible Daten an einen Onlineshop übermittele, dann will ich gerne wissen, wem ich etwas übermittle.
Wenn ich allerdings als Provider meinen Kunden die verschlüsselte Ã?bermittlung von Mails anbieten will, dann reicht auch ein selbsterstelltes Zertifikat aus (der Kunde hat ja bereits einen Vertrag mit mir. Dadurch "kennen" wir uns)

[oxygen]

Eine Verschlüsselung ohne Ã?berprüfung des Gegenüber ist immer noch besser, als keine Verschlüsselung.

was nuetzt Dir die beste Verschluesselung mit Deinem Gegenueber wenn Du nicht weisst wer der Gegenueber ist?

Einfaches Beispiel: Confixx, phpMyAdmin, WebMail. Ich will nicht, dass ich Passwörter oder Nutzdaten im Klartext übertragen werden.
Sollte ich hier auf die Verschlüsselung verzichten, nur weil ich mir kein Zertifikat kaufen will, sicher nicht oder?

[nyxus]

Einfaches Beispiel: Confixx, phpMyAdmin, WebMail. Ich will nicht, dass ich Passwörter oder Nutzdaten im Klartext übertragen werden.
Sollte ich hier auf die Verschlüsselung verzichten, nur weil ich mir kein Zertifikat kaufen will, sicher nicht oder?

Du bringst hier zwei Probleme durcheinander. Du sollst natuerlich nichts unverschluesselt uebertragen und dafuer musst Du auch kein Zertifikat kaufen.

Aber um bei Deinem Beispiel zu bleiben: Irgendjemand spooft Die IP-Adresse Deines Servers, Du hast aber keine Moeglichkeit zu ueberpruefen ob Du wirklich mit Deinem Server verbunden bist. Dann schickst Du dem Angreifer verschluesselt Deine Passwoerter. Und hier liegt das Problem. Wenn Du ein Zertifikat von jemandem hast, der keine Ueberpruefung bei der Zertifikatsvergabe macht, dann weisst Du halt nicht ob Du mit Deinem oder einem fremden Server verbunden bist.

Fuer solche Sachen ist es dann doch besser ein selbstausgestelltes Zertifikat zu benutzen, denn da weisst Du, dass kein anderer von Dir ein Zertifikat ausgestellt bekommt und Du hast eine Moeglichkeit der Authentifizierung.