Discussion:
Problem mit Root-Zertifikat
Egon Frerich
2013-08-11 22:19:42 UTC
Permalink
Hallo,

ich benutze Thunderbird/Firefox auf Ubuntu. In Thunderbird ist
automatisches Unterschreiben in S/MIME eingestellt. Das Unterschreiben
klappte bis zum 26.6.2013.

Erst jetzt stellte ich fest, daß Unterschriften seit dem 27.6.2013
fehlen. Eine entsprechende Meldung habe ich feststellen können.
as Zertifikat konnte nicht verifiziert werden, weil es mit einem Signatur-
Algorithmus signiert wurde, der deaktiviert wurde, weil er nicht
sicher ist.
An anderer Stelle fand ich die Meldung, daß die Verschlüsselung MD5-SHA1
unsicher sei.

Ist das Problem bekannt? Gibt es Lösungen?

Grüße

Egon
Werner Dworak
2013-08-12 19:18:00 UTC
Permalink
Hallo Egon Frerich,
Post by Egon Frerich
Das Zertifikat konnte nicht verifiziert werden, weil es mit einem Signatur-
Algorithmus signiert wurde, der deaktiviert wurde, weil er nicht
sicher ist.
Da war wohl jemand übereifrig und kennt sich nicht wirklich aus. Leider
gibt es von dieser Sorte einige Leute.
Post by Egon Frerich
An anderer Stelle fand ich die Meldung, daß die Verschlüsselung MD5-SHA1
unsicher sei.
Für abgeleitete Zertifikate (das sind die, die praktisch benutzt werden)
ist MD5 tatsächlich erheblich zu unsicher und sollte nicht mehr benutzt
werden.

Für ein Stammzertifikat gelten allerdings andere Regeln, da ist MD5 kein
Problem. Teilweise ist da sogar noch MD2 in Benutzung.

Das Stammzertifikat Klasse 1 von CAcert benutzt noch MD5. Wir sind
jedoch dabei, ein neues Stammzertifikat zu erstellen, das
voraussichtlich SHA256 benutzen wird.

Das Stammzertifikat Klasse 3 (manche nennen es auch Zwischenzertifikat)
von CAcert benutzt seit längerem SHA256. Es stützt sich allerdings auf
das Stammzertifikat Klasse 1.

Nach Möglichkeit sollten Stammzertifikate der Klasse 3 benutzt werden
und nicht direkt Klasse 1. Es gibt jedoch einige Anwendungen, die ein
Stammzertifikat Klasse 1 haben wollen.

Viele Grüße, Werner
Egon Frerich
2013-08-12 21:28:27 UTC
Permalink
Post by Werner Dworak
Hallo Egon Frerich,
Post by Werner Dworak
Da war wohl jemand übereifrig und kennt sich nicht wirklich aus. Leider
gibt es von dieser Sorte einige Leute.
Damit meinte ich die Hersteller von Betriebssystemen und Browsern bzw.
deren Mitarbeiter.
Die Meldung kommt von Firefox - siehe beiliegendem Schnappschuß. Daher
kann ich E-Mails nicht mit S/MIME unterschreiben.
Ich benutze hier auch den aktuellen Firefox unter Windows XP SP3. Ich
habe gerade einem Bekannten erfolgreich eine verschlüsselte Nachricht
schicken können. Alle meine Mails sind normalerweise digital
unterschrieben.
Also geht es grundsätzlich. Massive und bisher unlösbare Probleme kenne
ich nur von Apple iPhone & Co. Wenn es also bei Ihnen nicht geht, dann
stimmen vermutlich einige Einstellungen nicht oder es herrschen andere
Bedingungen.
Was für ein Betriebssystem benutzen Sie? Welche Firefox-Version? Sind
die Stammzertifikate von CAcert Klasse 1 und Klasse 3 beide installiert?
Sind die Client-Zertifikat richtig installiert und sind da alle Optionen
passend gesetzt? Gibt es für alle benutzten E-Mail-Adressen
Client-Zertifikate?
Um das zu überprüfen, gehen Sie in Firefox auf Extras -> Einstellungen
-> Erweitert -> Verschlüsselung -> Zertifikate anzeigen. Im Reiter
Root CA
CAcert Class 3 root
CA Cert Signing Authority
Ich hatte meine E-Mail aus Versehen nicht an die Liste geschickt. Dies
habe ich nachgeholt, so daß auch Sie nochmals bekommen.

In meiner Ursprungsmails hatte ich geschrieben, daß ich bis zum 26.6.
eine funktionierende Installation hatte. Ubuntu 12.04. Firefox ist
Version 23.

Obige Eintragungen sind weiterhin in Firefox. Klicke ich auf anzeigen,
läuft das für das Class 3 Zertifikat korrekt, für das KLasse 1
Zertifikat meldet Firefox, es sei nicht verifizierbar.

Egon
Werner Dworak
2013-08-12 21:49:36 UTC
Permalink
Hallo Egon Frerich,
daß ich bis zum 26.6. eine funktionierende Installation hatte. Ubuntu
12.04. Firefox ist Version 23.
Klicke ich auf anzeigen, läuft das für das Class 3 Zertifikat
korrekt, für das KLasse 1 Zertifikat meldet Firefox, es sei nicht
verifizierbar.
Da Firefox 23 bei mir unter WinXP problemlos läuft, vermute ich, dass
Ubuntu der Übereifrige ist, der das Stammzertifikat Klasse 1 wegen MD5
unberechtigt zurückweist. Klappt es, die Client-Zertifikate auf
Stammzertifikat 3 alleine zu beziehen?

Viele Grüße, Werner
Michael Nausch
2013-08-30 08:22:36 UTC
Permalink
Servus!
Post by Werner Dworak
Das Zertifikat konnte nicht verifiziert werden, weil es mit einem Signatur-
Algorithmus signiert wurde, der deaktiviert wurde, weil er nicht
sicher ist.
Tja, da sind wir nun mal wieder bei dem gleichen Thema, das auch mit den
Apple-Sachen besteht. Dazu hatte ich ja auch schon mal angefragt, wann die
Signatur des Class 1 Zertifikates angepasst und beide Root-Zertifikate
erneuert werden.
Post by Werner Dworak
Da war wohl jemand übereifrig und kennt sich nicht wirklich aus. Leider
gibt es von dieser Sorte einige Leute.
Also dazu ist es eigentlich müßig, ein Urteil zu fällen, da es letztendlich
ein zunehmendes Problem ist und wird. Was nutzen denn Zertifikate, wenn diese
nicht als trusted eingestuft werden können? NIX! Da kann ich ja gleich besser
mit 'ner eigenen CA aufwarten.

In meinen Workshops zum Thema sicher eMail, erwähne ich mittlerweilen S/MIME
nur noch als weitere Alternative. Meine Empfehlung geht mit den Erfahrungen
der MD5-Signatur im Class1 nunmehr in Richtung PGP.
Post by Werner Dworak
Das Stammzertifikat Klasse 1 von CAcert benutzt noch MD5. Wir sind
jedoch dabei, ein neues Stammzertifikat zu erstellen, das
voraussichtlich SHA256 benutzen wird.
Ich hatte die Frage Dir ja schon mal gestellt [s20130605.20], wann es soweit
sein könnte.

Zitat: "... Ob auch ein neues Stammzertifikat Klasse 3 erzeugt werden muss
oder sollte, steht noch nicht fest."

Na ja, da sind wir wieder bei Deinem Eingangsstatement, oder?
Post by Werner Dworak
Das Stammzertifikat Klasse 3 (manche nennen es auch Zwischenzertifikat)
von CAcert benutzt seit längerem SHA256. Es stützt sich allerdings auf
das Stammzertifikat Klasse 1.
Genau, und wenn ein Glied Zertifikats-Kette kein Vertrauen geniest oder gar
ungültig sein sollte, dann passiert was? ... /dev/null :/ Genau, dann ist
schluß mit lustig, nix geht! Die Frage also, ob dann das Class 3 Zertifikat
erzeugt werden "sollte", erübrigt sich also.

Aus dem Grund hab ich meine externen Dienste leider mittlerweilen alle auf
kostenpflichtige Zertifikate umgestellt, damit die Apple-Nutzer und sonstigen,
die mit dem aktuellen CAcert-Root Zertifikat ein Problem haben, nicht außen
vor stehen.


Servus
Django
--
https://dokuwiki.nausch.org/doku.php/centos:openpgp_beim_mua
http://ebersberger-liedersammlung.de
http://wetterstation-pliening.info
Michael Nausch
2013-09-24 17:18:33 UTC
Permalink
Ahoi!

Gibt es denn schon Neuigkeiten zum Thema "Erneuerung Class1 Zertifikat"? Kann man hier irgendwas machen und mithelfen?


ttyl
Django
- --
Michael Nausch
- -----------------
sent with R2Mail2 from Galaxy Node 10.1

- ----- Original Nachricht -----
Von: Michael Nausch <michael-f0dzn6fOPlgdnm+***@public.gmane.org>
Gesendet: 30.08.2013
An: cacert-de-***@public.gmane.org
Betreff: Re: Problem mit Root-Zertifikat
Post by Michael Nausch
Servus!
Post by Werner Dworak
Das Zertifikat konnte nicht verifiziert werden, weil es mit einem Signatur-
Algorithmus signiert wurde, der deaktiviert wurde, weil er nicht
sicher ist.
Tja, da sind wir nun mal wieder bei dem gleichen Thema, das auch mit den
Apple-Sachen besteht. Dazu hatte ich ja auch schon mal angefragt, wann die
Signatur des Class 1 Zertifikates angepasst und beide Root-Zertifikate
erneuert werden.
Post by Werner Dworak
Da war wohl jemand übereifrig und kennt sich nicht wirklich aus. Leider
gibt es von dieser Sorte einige Leute.
Also dazu ist es eigentlich müßig, ein Urteil zu fällen, da es letztendlich
ein zunehmendes Problem ist und wird. Was nutzen denn Zertifikate, wenn diese
nicht als trusted eingestuft werden können? NIX! Da kann ich ja gleich besser
mit 'ner eigenen CA aufwarten.
In meinen Workshops zum Thema sicher eMail, erwähne ich mittlerweilen S/MIME
nur noch als weitere Alternative. Meine Empfehlung geht mit den Erfahrungen
der MD5-Signatur im Class1 nunmehr in Richtung PGP.
Post by Werner Dworak
Das Stammzertifikat Klasse 1 von CAcert benutzt noch MD5. Wir sind
jedoch dabei, ein neues Stammzertifikat zu erstellen, das
voraussichtlich SHA256 benutzen wird.
Ich hatte die Frage Dir ja schon mal gestellt [s20130605.20], wann es soweit
sein könnte.
Zitat: "... Ob auch ein neues Stammzertifikat Klasse 3 erzeugt werden muss
oder sollte, steht noch nicht fest."
Na ja, da sind wir wieder bei Deinem Eingangsstatement, oder?
Post by Werner Dworak
Das Stammzertifikat Klasse 3 (manche nennen es auch Zwischenzertifikat)
von CAcert benutzt seit längerem SHA256. Es stützt sich allerdings auf
das Stammzertifikat Klasse 1.
Genau, und wenn ein Glied Zertifikats-Kette kein Vertrauen geniest oder gar
ungültig sein sollte, dann passiert was? ... /dev/null :/ Genau, dann ist
schluß mit lustig, nix geht! Die Frage also, ob dann das Class 3 Zertifikat
erzeugt werden "sollte", erübrigt sich also.
Aus dem Grund hab ich meine externen Dienste leider mittlerweilen alle auf
kostenpflichtige Zertifikate umgestellt, damit die Apple-Nutzer und sonstigen,
die mit dem aktuellen CAcert-Root Zertifikat ein Problem haben, nicht außen
vor stehen.
Servus
Django
--
https://dokuwiki.nausch.org/doku.php/centos:openpgp_beim_mua
http://ebersberger-liedersammlung.de
http://wetterstation-pliening.info
Benedikt Heintel
2013-11-10 23:35:52 UTC
Permalink
Hallo Michael, hallo Liste,

wir haben das Projekt "New Roots & Escrow" gestartet, das vom Vorstand
akzeptiert (Motion m20130729.2) und dessen Project Charter
unterschrieben ist. Der Projektleiter Martin Gummi hat zusammen mit
einem kleinen Team die Arbeitspakete ausgearbeitet und den Zeitplan
abgesteckt. In den kommenden Wochen wird das Projekt jede Hilfe gerne
annehmen, um neue, fÃŒr den externen Audit brauchbare Zertifikate und
Prozesse rund um Roll-Out und Revocation zu erstellen.

Martin und ich wÃŒrden uns ÃŒber deine und ÃŒber jede andere helfende Hand
freuen.

Viele GrÌße
Benedikt

Diese E-Mail ist digital signiert. Was das bedeutet und weitere
Informationen unter https://wiki.cacert.org/CAcertInShort-de
Post by Michael Nausch
Ahoi!
Gibt es denn schon Neuigkeiten zum Thema "Erneuerung Class1
Zertifikat"? Kann man hier irgendwas machen und mithelfen?
ttyl
Django
Michael Nausch
2013-11-22 14:54:20 UTC
Permalink
Servus!
Martin und ich würden uns über deine und über jede andere helfende
Hand freuen.
O.K., was gibt es zu tun? Wenn ich helfen kann, mache ich das gerne!


ttyl
Django
g***@public.gmane.org
2014-02-20 12:51:24 UTC
Permalink
Moin moin,

da ich gerade auch wieder auf das Problem gesto=C3=9Fen bin, m=C3=B6chte ic=
h diesen
=C3=A4lteren, aber offensichtlich immer noch nicht als gel=C3=B6st anzusehe=
nden Thread
wieder ausgraben. Die Frage bleibt die gleiche ;)

Viele Gr=C3=BC=C3=9Fe

Gerrit
Gerrit Giehl
2014-02-20 13:01:14 UTC
Permalink
Mea maxima culpa, da hat mir die Mailinglisten-Software wohl einen
Streich gespielt.
From: Michael Nausch <michael AT nausch.org>
To: cacert-de AT lists.cacert.org
Subject: Re: Problem mit Root-Zertifikat
Date: Tue, 24 Sep 2013 19:18:33 +0200 (CEST)
Ahoi!
Gibt es denn schon Neuigkeiten zum Thema "Erneuerung Class1
Zertifikat"? Kann
man hier irgendwas machen und mithelfen?
Benedikt Heintel
2014-02-21 07:30:49 UTC
Permalink
Hallo Gerit,

CAcert hat Ende vergangenen Jahres das Projekt New Roots & Escrow (NRE) gestartet, um die Verfahren der SchlÃŒsselerzeugung, -aufbewahrung und -erneuerung zu formalisieren, dokmentieren und testen. Die Projektlaufzeit ist auf ein Jahr festgelegt. In der Projektdokumentation [1] sind alle weiteren Informationen. Der aktuelle Gesamtstatus kann beim Projektleiter erfragt werden.

Viele GrÃŒsse
Benedikt

[1] http://wiki.cacert.org/Roots/EscrowAndRecovery/NRE

----- Reply message -----
From: "Gerrit Giehl" <***@email-versand.net>
To: <cacert-***@lists.cacert.org>
Subject: Problem mit Root-Zertifikat
Date: Thu, Feb 20, 2014 14:01


Mea maxima culpa, da hat mir die Mailinglisten-Software wohl einen
Streich gespielt.
From: Michael Nausch <michael AT nausch.org>
To: cacert-de AT lists.cacert.org
Subject: Re: Problem mit Root-Zertifikat
Date: Tue, 24 Sep 2013 19:18:33 +0200 (CEST)
Ahoi!
Gibt es denn schon Neuigkeiten zum Thema "Erneuerung Class1
Zertifikat"? Kann
man hier irgendwas machen und mithelfen?
Gerrit Giehl
2014-02-21 12:10:28 UTC
Permalink
Post by Benedikt Heintel
Hallo Gerit,
Hallo Benedikt,
Post by Benedikt Heintel
CAcert hat Ende vergangenen Jahres das Projekt New Roots & Escrow
(NRE) gestartet, um die Verfahren der Schlüsselerzeugung,
-aufbewahrung und -erneuerung zu formalisieren, dokmentieren und
testen. Die Projektlaufzeit ist auf ein Jahr festgelegt. In der
Projektdokumentation [1] sind alle weiteren Informationen. Der
aktuelle Gesamtstatus kann beim Projektleiter erfragt werden.
Vielen Dank! Damit ist meine Frage mehr als beantwortet :)
Post by Benedikt Heintel
Viele Grüsse
Benedikt
Viele Grüße

Gerrit
Post by Benedikt Heintel
[1] http://wiki.cacert.org/Roots/EscrowAndRecovery/NRE
Lesen Sie weiter auf narkive:
Loading...