Menü
Avatar von HerrMeLin
  • HerrMeLin

mehr als 1000 Beiträge seit 25.06.2001

Was für ein konstruierter Krimi! Schöne Verschwörungsgeschichte... Antworten

Was soll mit den Zertifikaten passieren, die zwar kein Sicherheitsproblem darstellen, aber gegen die Spezifikation verstoßen?

Nichts, da überhaupt kein Problem vorliegt.

Die Abstimmung, dass die Seriennummer nicht-sequentiell sein soll war am 30. September 2016 (https://cabforum.org/2016/03/31/ballot-164/). Darauf haben sich die großen CAs - watt'n Wunder - zu 100% geeinigt. Es war zwar schon vorher gängige Praxis (mind. seit 2010), aber jetzt sollte es eben zum Standard erhoben werden (Grund später).

Zertifikate werden inzwischen nur noch mit SHA-256 Signaturalgotimus (nicht mehr MD5, SHA-1) ausgeliefert, wodurch die Anfälligkeit gegen Angriffe noch geringer wird (https://crypto.stackexchange.com/questions/257/unpredictability-of-x-509-serial-numbers).

Und es gibt ja noch einen weiteren Grund, warum die Seriennummer zufällig sein soll: Wären sie seriell, könnte man jeder CA nachweisen, wieviele Zertifikate sie monatlich signiert und welchen Gewinn sie mit dieser "Gelddruckmaschine" generiert. Das wollen die CAs verständlicherweise nicht. Alle sollen möglichst brav zahlen, nur damit ihre Wurzel-Zertifikate und Abkömmlinge in den großen Zertifikatsspeichern landen.

Darf DarkMatter Root-CA werden?

Latürnich!

Und wer entscheidet das?

Da ist der Haken: Die BIG CAs, die BIG OS und die BIG Browserhersteller.

Nach welchen Kriterien?

Was für eine Frage!? Nach Dicke des Geldbeutels natürlich! (Und ob man den USA genehm ist.)

Warum hat DarkMatter überhaupt diesen Antrag gestellt?

Weil sie als Sub-CA, wie jede andere Sub-CA übrigens auch, immer nur Sklave der übergeordneten CA sind und jederzeit gesperrt werden können. Ist doch wie überall! Über sticht unter. Und wer die meiste Kohle hat, hat die Macht. Die Wurzel-CAs haben halt die Füße in der Tür, und da werden sie auch bleiben und möglichst dafür sorgen, dass nicht noch weiter Füße dazu kommen.

PS: Die Zertifikats-Seriennummer darf 20 Bytes groß sein.

Das Posting wurde vom Benutzer editiert (15.03.2019 19:02).

Bewerten
- +
Anzeige