Trau schau wem

23/04/2014 - 07:35 von Juergen P. Meier | Report spam
Erstmal ein Link: https://ics.sans.edu/crls.html (sorry fuer den
Medienbruch, aber das sind zu viele Daten fuer ein Posting)

Jezt zu den Auffaelligkeiten:

Es gibt genau *EINEN* *EINZIGEN* CA-Betreiber, der eine /signifikante/
Zahl* von Zertifikate wegen Heartbleed revoziert hat.

*Insbesondere wenn man das mit den Zahlen der Re-issued Certificates
der selben CAs vergleicht, erkennt man eine sehr deutliche Diskrepanz.
Da werden Zertifikate wegen Heartbleed *KOMPROMITTIERUNG* /neu/
ausgestellt, aber das kompromittierte Zertifikat wird *NICHT* Revoziert?

Ja, das ist professioneller CA-Betrieb!

Das ist dem ueberall voreingestellten Vertrauen natuerlich total
wuerdig und so.

Ach ja: CACert faellt (wenige ueberraschend) ebenso negativ auf wie
die fast alle komerziellen CAs.

Von den allseits vertrauten scheint nur eine einzige CA das ueberhaupt
Ansatzweise ernst zu nehmen - so ernst, dass die Typen vom SANS es erst
nicht glauben konnten.

Wenn ich jetzt sage: TLS ist hoffnungslos broken, dann wiederhole ich mich nur.

Mal sehen was LibreSSL rausreissen kann, immerhin wollen sie
Ueberfluessigen Protokoll-Schnickschnack wie diesen Heartbeat Unsinn
weglassen.
 

Lesen sie die antworten

#1 Stephan Seitz
23/04/2014 - 10:28 | Warnen spam
Juergen P. Meier wrote:
Es gibt genau *EINEN* *EINZIGEN* CA-Betreiber, der eine /signifikante/
Zahl* von Zertifikate wegen Heartbleed revoziert hat.



Verstehe ich nicht. Den Antrag auf "Rückruf" muß doch der Kunde
stellen. Soll der CA-Betreiber denn selber Fremdzertifikate für ungültig
erklàren, wenn der Kunde das gar nicht will/triggert?

Shade and sweet water!

Stephan

| Stephan Seitz E-Mail: stse+ |
| Public Keys: http://fsing.rootsland.net/~stse/keys.html |

Ähnliche fragen