Certificate chain zu CAcert.org

06/03/2015 - 15:36 von Michael Baeuerle | Report spam
Beim Test der Prüfung von CRLs bin ich nach einer erfolgreichen TLS-
Verbindung zu Eternal September über folgendes gestolpert:

Im Root-Zertifikat von CAcert das ich testweise importiert habe steht:
|
| Signature Algorithm: md5WithRSAEncryption
^^^
| Issuer: O=Root CA, OU=http://www.cacert.org,
| CNÊ Cert Signing Authority/emailAddress=support@cacert.org
| Validity
| Not Before: Mar 30 12:29:49 2003 GMT
| Not After : Mar 29 12:29:49 2033 GMT
| Subject: O=Root CA, OU=http://www.cacert.org,
| CNÊ Cert Signing Authority/emailAddress=support@cacert.org

Auf MD5 basierende Signaturen und gültig bis 2033 ... das sieht ziemlich
optimistisch aus.

Und im Server-Zertifikat von Eternal September dann das hier:
|
| Signature Algorithm: sha512WithRSAEncryption
| Issuer: O=Root CA, OU=http://www.cacert.org,
| CNÊ Cert Signing Authority/emailAddress=support@cacert.org
| Validity
| Not Before: Feb 27 17:36:25 2015 GMT
| Not After : Aug 26 17:36:25 2015 GMT
| Subject: CN=news.eternal-september.org
| Subject Public Key Info:
| Public Key Algorithm: rsaEncryption
| Public-Key: (4086 bit)
^^^^^^^^
Da scheint sich jemand vertippt zu haben, der folgende Modulus ist auch
tatsàchlich nur 511 Oktets (4088 Bits) lang. Das sollte doch vermutlich
eine Zweierpotenz sein (2¹² = 4096), oder gibt es einen ernsthaften
Grund genau 4086 haben zu wollen?
 

Lesen sie die antworten

#1 Arno Welzel
07/03/2015 - 17:37 | Warnen spam
Michael Baeuerle schrieb am 2015-03-06 um 15:36:

Beim Test der Prüfung von CRLs bin ich nach einer erfolgreichen TLS-
Verbindung zu Eternal September über folgendes gestolpert:

Im Root-Zertifikat von CAcert das ich testweise importiert habe steht:
|
| Signature Algorithm: md5WithRSAEncryption
^^^
| Issuer: O=Root CA, OU=http://www.cacert.org,
| CNÊ Cert Signing Authority/emailAddress=
| Validity
| Not Before: Mar 30 12:29:49 2003 GMT
| Not After : Mar 29 12:29:49 2033 GMT
| Subject: O=Root CA, OU=http://www.cacert.org,
| CNÊ Cert Signing Authority/emailAddress=

Auf MD5 basierende Signaturen und gültig bis 2033 ... das sieht ziemlich
optimistisch aus.



Im Jahr 2003 wurde CAcert gegründet - und da war MD5 halt noch ganz toll ;-)

Im Ernst: CAcert erscheint mir seit der Umstrukturierung im Jahr 2007
generell ziemlich tot bzw. es làuft halt auf dem Status Quo, wie es vor
sieben Jahren war. Die letzte mir bekannten Zahl waren weltweit weniger
als 250000 Nutzer.

Auch am Inclusion-Status àndert sich eigentlich seit Jahren nichts:

<http://wiki.cacert.org/InclusionStatus>



Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de
http://fahrradzukunft.de

Ähnliche fragen