Discussion:
Dürfen Mitglieder Zertifikate für Nicht-Mitglieder erstellen?
Jörg Kastning
2015-09-27 18:10:38 UTC
Permalink
Hallo,

ich habe mir das CAcert Community Agreement (CCA) (URL:
https://www.cacert.org/policy/CAcertCommunityAgreement.html) in
Erinnerung gerufen. Dabei bin ich bei bei §1.2 Satz 4 hÀngen geblieben:
"You may OFFER certificates issued to you by CAcert to NRPs for their
USE, within the general principles of the Community."

Verstehe ich es richtig, dass ein Mitglied mit dem eigenen Account
Zertifikate zur Nutzung durch einen Dritten erstellen darf? Das Mitglied
fÃŒhrt also die Domain-Validierung und die Erzeugung der Zertifikate
durch und gibt diese dann an die dritte Person weiter, damit diese das
Zertifikat z.B. auf einem Webserver installieren kann.

Habe ich die Aussage aus dem CCA damit korrekt interpretiert?

Viele GrÌße
Jörg Kastning

--
E-Mail: ***@my-it-brain.de
Twitter: https://twitter.com/JoergKastning
Internet: http://www.my-it-brain.de
Threema-ID: K2Y6W49N
OpenPGP-ID: 7A302E30
OpenPGP-Fingerabdruck:
2026 DF56 89B6 F79A E776 B15B 55E2 83FB 7A30 2E30
Wilm Maier
2015-09-27 18:28:17 UTC
Permalink
Hallo,

kann ich mir nicht vorstellen. Wie sollte das gehen? Das ganze
IdentitÀtsprÌfungssystem wÀre im Eimer. Ich kann mir nur vorstellen,
dass es hier um deine öffentlichen Zertifikate geht. Niemand erhebt
GebÌhren und stellt BeschrÀnkungen auf dafÌr, dass Dritte dein
öffentliches Zertifikat nutzen, um dich, deine Server oder deine
Software mit dir zu identifizieren oder um Mails an dich zu
verschlÃŒsseln.

GrÌßle

Wilm



> Hallo,
>
> ich habe mir das CAcert Community Agreement (CCA) (URL:
> https://www.cacert.org/policy/CAcertCommunityAgreement.html) in
> Erinnerung gerufen. Dabei bin ich bei bei §1.2 Satz 4 hÀngen
> geblieben: "You may OFFER certificates issued to you by CAcert to NRPs
> for their USE, within the general principles of the Community."
>
> Verstehe ich es richtig, dass ein Mitglied mit dem eigenen Account
> Zertifikate zur Nutzung durch einen Dritten erstellen darf? Das
> Mitglied fÃŒhrt also die Domain-Validierung und die Erzeugung der
> Zertifikate durch und gibt diese dann an die dritte Person weiter,
> damit diese das Zertifikat z.B. auf einem Webserver installieren kann.
>
> Habe ich die Aussage aus dem CCA damit korrekt interpretiert?
>
> Viele GrÌße
> Jörg Kastning
>
> --
> E-Mail: ***@my-it-brain.de
> Twitter: https://twitter.com/JoergKastning
> Internet: http://www.my-it-brain.de
> Threema-ID: K2Y6W49N
> OpenPGP-ID: 7A302E30
> OpenPGP-Fingerabdruck:
> 2026 DF56 89B6 F79A E776 B15B 55E2 83FB 7A30 2E30
>
>
Stefan Thode
2015-09-27 18:30:17 UTC
Permalink
Hallo an die Runde,
mit der Weitergabe von Zertifikaten an Dritte, verlierst du die
Kontrolle ÃŒber den Private-Key. Das wÀre dann ein CCA Verstoß.

Gruß
Stefan

Am 27.09.2015 um 20:28 schrieb Wilm Maier:
> Hallo,
>
> kann ich mir nicht vorstellen. Wie sollte das gehen? Das ganze
> IdentitÀtsprÌfungssystem wÀre im Eimer. Ich kann mir nur vorstellen,
> dass es hier um deine öffentlichen Zertifikate geht. Niemand erhebt
> GebÌhren und stellt BeschrÀnkungen auf dafÌr, dass Dritte dein
> öffentliches Zertifikat nutzen, um dich, deine Server oder deine
> Software mit dir zu identifizieren oder um Mails an dich zu
> verschlÃŒsseln.
>
> GrÌßle
>
> Wilm
>
>
>
>> Hallo,
>>
>> ich habe mir das CAcert Community Agreement (CCA) (URL:
>> https://www.cacert.org/policy/CAcertCommunityAgreement.html) in
>> Erinnerung gerufen. Dabei bin ich bei bei §1.2 Satz 4 hÀngen
>> geblieben: "You may OFFER certificates issued to you by CAcert to NRPs
>> for their USE, within the general principles of the Community."
>>
>> Verstehe ich es richtig, dass ein Mitglied mit dem eigenen Account
>> Zertifikate zur Nutzung durch einen Dritten erstellen darf? Das
>> Mitglied fÃŒhrt also die Domain-Validierung und die Erzeugung der
>> Zertifikate durch und gibt diese dann an die dritte Person weiter,
>> damit diese das Zertifikat z.B. auf einem Webserver installieren kann.
>>
>> Habe ich die Aussage aus dem CCA damit korrekt interpretiert?
>>
>> Viele GrÌße
>> Jörg Kastning
>>
>> --
>> E-Mail: ***@my-it-brain.de
>> Twitter: https://twitter.com/JoergKastning
>> Internet: http://www.my-it-brain.de
>> Threema-ID: K2Y6W49N
>> OpenPGP-ID: 7A302E30
>> OpenPGP-Fingerabdruck:
>> 2026 DF56 89B6 F79A E776 B15B 55E2 83FB 7A30 2E30
>>
>>
>

--

Mit freundlichen Gruessen / best Regards

Stefan Thode
CAcert Assurer
CAcert.org - Free Certificates
E-Mail: ***@cacert.org
Jörg Kastning
2015-09-27 18:38:48 UTC
Permalink
Am 27.09.2015 um 20:30 schrieb Stefan Thode:
> Hallo an die Runde,
> mit der Weitergabe von Zertifikaten an Dritte, verlierst du die
> Kontrolle ÃŒber den Private-Key. Das wÀre dann ein CCA Verstoß.
>

Das leuchtet mir auch sofort ein. Aber kann mir dann vielleicht jemand
erklÀren was mit dem folgenden Satz genau gemeint ist?

>>> Dabei bin ich bei bei §1.2 Satz 4 hÀngen
>>> geblieben: "You may OFFER certificates issued to you by CAcert to NRPs
>>> for their USE, within the general principles of the Community."

MfG
Jörg

--
E-Mail: ***@my-it-brain.de
Twitter: https://twitter.com/JoergKastning
Internet: http://www.my-it-brain.de
Threema-ID: K2Y6W49N
OpenPGP-ID: 7A302E30
OpenPGP-Fingerabdruck:
2026 DF56 89B6 F79A E776 B15B 55E2 83FB 7A30 2E30
Lucas Werkmeister
2015-09-27 18:41:07 UTC
Permalink
Ich nehme mal an, dass du ausschließlich den öffentlichen Teil deines
(eigenen) Zertifikats weitergeben darfst, und der USE besteht dann
darin, dass Leute Nachrichten an dich verschlÌsseln können?
Gruß Lucas

On 27.09.2015 20:38, Jörg Kastning wrote:
> Am 27.09.2015 um 20:30 schrieb Stefan Thode:
>> Hallo an die Runde,
>> mit der Weitergabe von Zertifikaten an Dritte, verlierst du die
>> Kontrolle ÃŒber den Private-Key. Das wÀre dann ein CCA Verstoß.
>>
> Das leuchtet mir auch sofort ein. Aber kann mir dann vielleicht jemand
> erklÀren was mit dem folgenden Satz genau gemeint ist?
>
>>>> Dabei bin ich bei bei §1.2 Satz 4 hÀngen
>>>> geblieben: "You may OFFER certificates issued to you by CAcert to NRPs
>>>> for their USE, within the general principles of the Community."
> MfG
> Jörg
>
Michael Nausch
2015-09-27 19:27:30 UTC
Permalink
HI!

Am 27.09.2015 um 20:30 schrieb Stefan Thode:

> mit der Weitergabe von Zertifikaten an Dritte, verlierst du die
> Kontrolle über den Private-Key.

Woot? Das Zertifikat enthält den PUBLIC-Key nicht den privaten! Durch
die Weitergabe verliere ich gar nix. Jeder x-beliebige kann und muss
sich mein Zertifikat besorgen. denn wie sonst soll er seine
Kontakt-Anfrage z.B. an den Webserver verschlüsseln.


Servus
Michael
Stefan Thode
2015-09-27 19:38:49 UTC
Permalink
Hi,
jeder gibt seine Public-Keys z.B. durch den Versand von signierten Mails
weiter, als P7s File. Das ist erlaubt.
Bei Server Zertifikaten, die als P12-Datei weitergegeben werden, ist der
Private-Key enthalten.
Damit ist der Private-Key kompromittiert und muss lt CCA revoked werden.

SelbstverstÀndlich ist jede Weitergabe von Public-Keys erlaubt.

Gruß
Stefan


Am 27.09.2015 um 21:27 schrieb Michael Nausch:
> HI!
>
> Am 27.09.2015 um 20:30 schrieb Stefan Thode:
>
>> mit der Weitergabe von Zertifikaten an Dritte, verlierst du die
>> Kontrolle ÃŒber den Private-Key.
> Woot? Das Zertifikat enthÀlt den PUBLIC-Key nicht den privaten! Durch
> die Weitergabe verliere ich gar nix. Jeder x-beliebige kann und muss
> sich mein Zertifikat besorgen. denn wie sonst soll er seine
> Kontakt-Anfrage z.B. an den Webserver verschlÃŒsseln.
>
>
> Servus
> Michael

--

Mit freundlichen Gruessen / best Regards

Stefan Thode
CAcert Assurer
CAcert.org - Free Certificates
E-Mail: ***@cacert.org
Bernd Jantzen
2015-09-27 19:50:54 UTC
Permalink
Ja, natÌrlich ist hier in der CCA die Weitergabe und Benutzung des öffentlichen
SchlÌssels durch Dritte gemeint. Der private SchlÌssel muss immer in den HÀnden
des Erzeugers verbleiben, sonst ist er kompromittiert und mÃŒsste widerrufen
werden. Das Zertifikat (das vom CAcert-Server signiert wird) enthÀlt nur den
öffentlichen, nicht den privaten SchlÌssel.

> ich habe mir das CAcert Community Agreement (CCA) (URL:
> https://www.cacert.org/policy/CAcertCommunityAgreement.html) in
> Erinnerung gerufen. Dabei bin ich bei bei §1.2 Satz 4 hÀngen geblieben:
> "You may OFFER certificates issued to you by CAcert to NRPs for their
> USE, within the general principles of the Community."

"certificates issued to you by CAcert"
Eben: Das Zertifikat mit öffentlichem SchlÌssel und dessen Signatur durch den
CAcert-CA-SchlÃŒssel ist es, das Mitglieder von CAcert erhalten und das sie an
Dritte weitergeben dÃŒrfen.

> Na, z.B. so:
> 1) Der dritte hat z.B. sich die DomÀne example.com registriert.
> 2) Ich trage example.com bei meinem Account ein und bestÀtige dies,
> in dem ich die eMail mit dem BestÀtigungslink erhalte/verschaffe.
> 3) Der dritte erstellt einen CSR und ÃŒbermittelt mir diesen.
> 4) Ich kippe den CSR bei CAcert ein und reiche dann das Zertifikat
> an den dritten weiter.
>
> So wÌrde ich das amchen, wenn ich das brÀuchte!

Wer als CAcert-Mitglied das tut, trÀgt die volle Verantwortung dafÌr, was mit
dem privaten SchlÃŒssel zu diesem Zertifikat passiert. Wenn er oder sie den
privaten SchlÃŒssel außerhalb seiner eigenen Verantwortung installiert oder
installieren lÀsst, dann könnte das durchaus mit den GrundsÀtzen von CAcert
kollidieren. SpÀtestens jedenfalls dann, wenn die Dritten, die Zugriff auf den
privaten SchlÃŒssel haben, diesen unbefugt weitergeben oder fÃŒr ungesetzliche
Zwecke einsetzen. Ich denke, man sollte als CAcert-Mitglied nur Zertifikate
beantragen, deren private SchlÃŒssel in der unmittelbaren eigenen Verantwortung
liegen, also auf im eigenen Mailclient, auf dem eigenen Webserver oder auf dem
Webserver einer Organisation, fÃŒr die ich den Webserver (mit)administriere.

Gruß,
Bernd


Stefan Thode schrieb am 27.09.2015 um 21:38:
> Hi,
> jeder gibt seine Public-Keys z.B. durch den Versand von signierten Mails
> weiter, als P7s File. Das ist erlaubt.
> Bei Server Zertifikaten, die als P12-Datei weitergegeben werden, ist der
> Private-Key enthalten.
> Damit ist der Private-Key kompromittiert und muss lt CCA revoked werden.
>
> SelbstverstÀndlich ist jede Weitergabe von Public-Keys erlaubt.
>
> Gruß
> Stefan
>
>
> Am 27.09.2015 um 21:27 schrieb Michael Nausch:
>> HI!
>>
>> Am 27.09.2015 um 20:30 schrieb Stefan Thode:
>>
>>> mit der Weitergabe von Zertifikaten an Dritte, verlierst du die
>>> Kontrolle ÃŒber den Private-Key.
>> Woot? Das Zertifikat enthÀlt den PUBLIC-Key nicht den privaten! Durch
>> die Weitergabe verliere ich gar nix. Jeder x-beliebige kann und muss
>> sich mein Zertifikat besorgen. denn wie sonst soll er seine
>> Kontakt-Anfrage z.B. an den Webserver verschlÃŒsseln.
>>
>>
>> Servus
>> Michael
>
Stefan Thode
2015-09-27 20:00:46 UTC
Permalink
Am 27.09.2015 um 21:50 schrieb Bernd Jantzen:
> Ja, natÌrlich ist hier in der CCA die Weitergabe und Benutzung des öffentlichen
> SchlÌssels durch Dritte gemeint. Der private SchlÌssel muss immer in den HÀnden
> des Erzeugers verbleiben, sonst ist er kompromittiert und mÃŒsste widerrufen
> werden. Das Zertifikat (das vom CAcert-Server signiert wird) enthÀlt nur den
> öffentlichen, nicht den privaten SchlÌssel.
>
>> ich habe mir das CAcert Community Agreement (CCA) (URL:
>> https://www.cacert.org/policy/CAcertCommunityAgreement.html) in
>> Erinnerung gerufen. Dabei bin ich bei bei §1.2 Satz 4 hÀngen geblieben:
>> "You may OFFER certificates issued to you by CAcert to NRPs for their
>> USE, within the general principles of the Community."
> "certificates issued to you by CAcert"
> Eben: Das Zertifikat mit öffentlichem SchlÌssel und dessen Signatur durch den
> CAcert-CA-SchlÃŒssel ist es, das Mitglieder von CAcert erhalten und das sie an
> Dritte weitergeben dÃŒrfen.
>
>> Na, z.B. so:
>> 1) Der dritte hat z.B. sich die DomÀne example.com registriert.
>> 2) Ich trage example.com bei meinem Account ein und bestÀtige dies,
>> in dem ich die eMail mit dem BestÀtigungslink erhalte/verschaffe.
>> 3) Der dritte erstellt einen CSR und ÃŒbermittelt mir diesen.
>> 4) Ich kippe den CSR bei CAcert ein und reiche dann das Zertifikat
>> an den dritten weiter.
>>
>> So wÌrde ich das amchen, wenn ich das brÀuchte!
> Wer als CAcert-Mitglied das tut, trÀgt die volle Verantwortung dafÌr, was mit
> dem privaten SchlÃŒssel zu diesem Zertifikat passiert. Wenn er oder sie den
> privaten SchlÃŒssel außerhalb seiner eigenen Verantwortung installiert oder
> installieren lÀsst, dann könnte das durchaus mit den GrundsÀtzen von CAcert
> kollidieren. SpÀtestens jedenfalls dann, wenn die Dritten, die Zugriff auf den
> privaten SchlÃŒssel haben, diesen unbefugt weitergeben oder fÃŒr ungesetzliche
> Zwecke einsetzen. Ich denke, man sollte als CAcert-Mitglied nur Zertifikate
> beantragen, deren private SchlÃŒssel in der unmittelbaren eigenen Verantwortung
> liegen, also auf im eigenen Mailclient, auf dem eigenen Webserver oder auf dem
> Webserver einer Organisation, fÃŒr die ich den Webserver (mit)administriere.
Exakt! Du haftest fÃŒr ein Zertifikat, das auf deinen Namen in der DB steht.
>
> Gruß,
> Bernd
>
>
> Stefan Thode schrieb am 27.09.2015 um 21:38:
>> Hi,
>> jeder gibt seine Public-Keys z.B. durch den Versand von signierten Mails
>> weiter, als P7s File. Das ist erlaubt.
>> Bei Server Zertifikaten, die als P12-Datei weitergegeben werden, ist der
>> Private-Key enthalten.
>> Damit ist der Private-Key kompromittiert und muss lt CCA revoked werden.
>>
>> SelbstverstÀndlich ist jede Weitergabe von Public-Keys erlaubt.
>>
>> Gruß
>> Stefan
>>
>>
>> Am 27.09.2015 um 21:27 schrieb Michael Nausch:
>>> HI!
>>>
>>> Am 27.09.2015 um 20:30 schrieb Stefan Thode:
>>>
>>>> mit der Weitergabe von Zertifikaten an Dritte, verlierst du die
>>>> Kontrolle ÃŒber den Private-Key.
>>> Woot? Das Zertifikat enthÀlt den PUBLIC-Key nicht den privaten! Durch
>>> die Weitergabe verliere ich gar nix. Jeder x-beliebige kann und muss
>>> sich mein Zertifikat besorgen. denn wie sonst soll er seine
>>> Kontakt-Anfrage z.B. an den Webserver verschlÃŒsseln.
>>>
>>>
>>> Servus
>>> Michael

--

Mit freundlichen Gruessen / best Regards

Stefan Thode
CAcert Assurer
CAcert.org - Free Certificates
E-Mail: ***@cacert.org
S. H.
2015-09-27 20:02:09 UTC
Permalink
Wobei das in der Tat besser formuliert werden könnte. So könnte ich mir schon vorstellen, dass einige es als Erlaubnis auffassen könnten, private SchlÌssel weiter zu geben oder als Herausgeber tÀtig zu werden.


> Am 27.09.2015 um 21:50 schrieb Bernd Jantzen <***@bernd-jantzen.de>:
>
> Ja, natÌrlich ist hier in der CCA die Weitergabe und Benutzung des öffentlichen
> SchlÃŒssels durch Dritte gemeint.
Juergen Christoffel
2015-09-28 07:50:32 UTC
Permalink
On Sun, Sep 27, 2015 at 10:02:09PM +0200, S. H. wrote:
>Wobei das in der Tat besser formuliert werden könnte. So könnte ich mir schon vorstellen, dass einige es als Erlaubnis auffassen könnten, private Schlüssel weiter zu geben oder als Herausgeber tätig zu werden.

Das muss nicht besser formuliert werden, die Leser müssen sich nur über die
Begriffe im Klaren sein, die sie verwenden:

a) privater Schlüssel
b) öffentlicher Schlüssel
c Zertifikat

sind drei unterschiedliche Dinge: a) und b) erzeuge ich, c) erzeugt die CA.

Den öffentlichen Schlüssel darf ich (schon dem Namen und dem Konzept nach)
weitergeben, dem muss nur niemand vertrauen. Das Zertifikat enthält den
öffentlichen Schlüssel, signiert von der CA. Und dieses Zertifikat, dass ja
formal der CA gehört, darf ich laut Formulierung weitergeben. Da steht
nicht von "private Schlüssel" weitergeben.

--jc

--
A great many of today's security technologies are "secure" only because
no-one has ever bothered attacking them. -- Peter Gutmann
S. H.
2015-09-28 08:03:00 UTC
Permalink
Juergen Christoffel wrote on 28.09.2015 09:50:
> Das muss nicht besser formuliert werden, die Leser mÃŒssen sich nur ÃŒber die
> Begriffe im Klaren sein, die sie verwenden:
>
> a) privater SchlÃŒssel
> b) öffentlicher SchlÌssel
> c) Zertifikat

Mir ist bewusst, dass ein Zertifikat den öffentlichen SchlÌssel signiert
und auch dass der private SchlÃŒssel den eigenen Computer niemals
verlÀsst. Auch nicht an die CA. Aber wie stellen wir sicher, dass dies
bei allen Nutzern so ist? Wie man an dieser Diskussion sieht, scheint es
da größere Unklarheiten zu geben.
Juergen Christoffel
2015-09-28 08:44:19 UTC
Permalink
On Mon, Sep 28, 2015 at 10:03:00AM +0200, S. H. wrote:
>Juergen Christoffel wrote on 28.09.2015 09:50:
>>Das muss nicht besser formuliert werden, die Leser müssen sich nur über die
>>Begriffe im Klaren sein, die sie verwenden:
>>
>>a) privater Schlüssel
>>b) öffentlicher Schlüssel
>>c) Zertifikat
>
>Mir ist bewusst, dass ein Zertifikat den öffentlichen Schlüssel signiert
>und auch dass der private Schlüssel den eigenen Computer niemals
>verlässt. Auch nicht an die CA. Aber wie stellen wir sicher, dass dies
>bei allen Nutzern so ist? Wie man an dieser Diskussion sieht, scheint es
>da größere Unklarheiten zu geben.

Der formale Text ist halt eine Art AGB und da steht präzise der Fachbegriff
"Zertifikat" drin. Die "Exegese" des Textes ;-) kann man anders und ggf.
sogar kürzer formulieren. Zum Beispiel als Kurzanleitung, FAQ oder
Ähnliches, die den Unterschied zwischen den Begriffen dem Laien erklärt und
Fragen wie "Darf ich X weitergeben?" im Klartext beantwortet.

--jc

--
A great many of today's security technologies are "secure" only because
no-one has ever bothered attacking them. -- Peter Gutmann
S. H.
2015-09-28 09:28:33 UTC
Permalink
Juergen Christoffel wrote on 28.09.2015 10:44:
> Zum Beispiel als Kurzanleitung, FAQ oder
> Ähnliches, die den Unterschied zwischen den Begriffen dem Laien erklÀrt und
> Fragen wie "Darf ich X weitergeben?" im Klartext beantwortet.

Das stimmt, das ist wahrscheinlich die beste Lösung. Das CCA soll ja
keine Dokumentation sein.
Rüdiger Schultz
2015-09-28 09:29:43 UTC
Permalink
Hallo,

Bitte erinnert Euch daran, dass z.B. Ladar Levison von LAVABIT.COM sein
Unternehmen lieber zugesperrt hat, als den "privaten Schlüssel" seiner
Serverzertifikate jemandem dritten (in diesem Fall der NSA direkt)
zugänglich zu machen. Das signalisiert, wie "wertvoll und sensibel" der
private Schlüssel ist, mit dessen Hilfe Zertifikate einer Person (juristisch
oder natürlich) zugeordnet werden kann.

Den "privaten Schlüssel" eines Zertifikates an irgendjemanden weiterzugeben,
ist m.E. nach grob fahrlässig!

Das hat zwar "auch" mit den Regeln von CAcert zu tun, in erster Linie aber
mit "verantwortlichem Handeln".

Liebe Grüsse
Rüdiger


-----Ursprüngliche Nachricht-----
Von: cacert-de-***@lists.cacert.org
[mailto:cacert-de-***@lists.cacert.org] Im Auftrag von Juergen
Christoffel
Gesendet: Montag, 28. September 2015 10:44
An: cacert-***@lists.cacert.org
Betreff: Re: Dürfen Mitglieder Zertifikate für Nicht-Mitglieder erstellen?

On Mon, Sep 28, 2015 at 10:03:00AM +0200, S. H. wrote:
>Juergen Christoffel wrote on 28.09.2015 09:50:
>>Das muss nicht besser formuliert werden, die Leser müssen sich nur
>>über die Begriffe im Klaren sein, die sie verwenden:
>>
>>a) privater Schlüssel
>>b) öffentlicher Schlüssel
>>c) Zertifikat
>
>Mir ist bewusst, dass ein Zertifikat den öffentlichen Schlüssel
>signiert und auch dass der private Schlüssel den eigenen Computer
>niemals verlässt. Auch nicht an die CA. Aber wie stellen wir sicher,
>dass dies bei allen Nutzern so ist? Wie man an dieser Diskussion sieht,
>scheint es da größere Unklarheiten zu geben.

Der formale Text ist halt eine Art AGB und da steht präzise der Fachbegriff
"Zertifikat" drin. Die "Exegese" des Textes ;-) kann man anders und ggf.
sogar kürzer formulieren. Zum Beispiel als Kurzanleitung, FAQ oder
Ähnliches, die den Unterschied zwischen den Begriffen dem Laien erklärt und
Fragen wie "Darf ich X weitergeben?" im Klartext beantwortet.

--jc

--
A great many of today's security technologies are "secure" only because
no-one has ever bothered attacking them. -- Peter Gutmann
Wilm Maier
2015-09-28 12:09:26 UTC
Permalink
Hallo Liste,

im Job bin ich gelegentlich in der Rolle des in diesem Thread paar Mal
zitierten Admins. Wer bezahlt, wer eine Domäne kontrolliert, wer die
Kontrolle über Schlüssel und über Zertifikate hat, wer sie auf
Firewalls, Reverse-Proxys, Webservern einspielt, das ist in der
kommerziellen Welt oft über verschiedene natürliche und juristische
Personen verteilt, und nicht nur innerhalb von Konzernen, wo es
vielleicht Gesamtverantwortliche gäbe, sondern auch auf Kunden und
Dienstleister, also komplett voneinander organisatorisch unabhängige
Körperschaften, verteilt. Wir sollten diese Welt, in der die Sicherheit
unter Aufwands- und damit letztlich unter Finanzierungsvorbehalt steht,
den kommerziellen CAs überlassen und uns davon absetzen.

Als OrgAdmin muss ich die Schlüssel zu Serverzertifikaten an Servern
einspielen, auf die andere Admins Zugriff haben. Dann sollte ich sie mit
Kennwort gegen Export aus dem jeweiligen Store schützen, soweit das
machbar ist. Schlüssel und CSR zu Client-Zertifikaten z.B. für E-Mail
können ja die Kollegen mittlerweile selbst erzeugen, ich muss als
OrgAdmin ja nur noch mit CSR und Zertifikat hantieren, also, dem
öffentlichen Teil.

Ein bisschen "grau" sind in dieser Hinsicht die Codesigning-Zertifikate,
mit denen wir unsere Installer signieren, um die fiese Windows-Meldung
"Unbekannter Herausgeber" zu umgehen. (Mal sehen, wann daraus "Nicht von
MS / Verisign zertifizierter Herausgeber" wird ... OK, das war ein
düsterer Scherz.) Unsere .NET-Entwickler haben das Signieren in ihren
MS-Build-Skripten automatisiert, dafür habe ich ihnen auch den Schlüssel
zur Verfügung stellen müssen. Als E-Mail-Adresse haben wir hier eine
Teamadresse genommen. Wie handhabt ihr so etwas? Können wir uns da
eventuell noch, im Sinne des CACert-Geistes, verbessern?

Grüßle,

Wilm



---
per Webmail
_______________________

Ich bin Assurer = Identitätsprüfer von CACert [1]. Nicht WhatsApp:
***@swissjabber.org -- Nicht Facebook: Xing [2] -- Blog [3]


Links:
------
[1] https://cacert.eu
[2] https://www.xing.com/profile/Wilm_Maier
[3] https://cruisinit.wordpress.com

Am 28.09.2015 11:29, schrieb Rüdiger Schultz:
> Hallo,
>
> Bitte erinnert Euch daran, dass z.B. Ladar Levison von LAVABIT.COM sein
> Unternehmen lieber zugesperrt hat, als den "privaten Schlüssel" seiner
> Serverzertifikate jemandem dritten (in diesem Fall der NSA direkt)
> zugänglich zu machen. Das signalisiert, wie "wertvoll und sensibel" der
> private Schlüssel ist, mit dessen Hilfe Zertifikate einer Person
> (juristisch
> oder natürlich) zugeordnet werden kann.
>
> Den "privaten Schlüssel" eines Zertifikates an irgendjemanden
> weiterzugeben,
> ist m.E. nach grob fahrlässig!
>
> Das hat zwar "auch" mit den Regeln von CAcert zu tun, in erster Linie
> aber
> mit "verantwortlichem Handeln".
>
> Liebe Grüsse
> Rüdiger
>
>
> -----Ursprüngliche Nachricht-----
> Von: cacert-de-***@lists.cacert.org
> [mailto:cacert-de-***@lists.cacert.org] Im Auftrag von Juergen
> Christoffel
> Gesendet: Montag, 28. September 2015 10:44
> An: cacert-***@lists.cacert.org
> Betreff: Re: Dürfen Mitglieder Zertifikate für Nicht-Mitglieder
> erstellen?
>
> On Mon, Sep 28, 2015 at 10:03:00AM +0200, S. H. wrote:
>> Juergen Christoffel wrote on 28.09.2015 09:50:
>>> Das muss nicht besser formuliert werden, die Leser müssen sich nur
>>> über die Begriffe im Klaren sein, die sie verwenden:
>>>
>>> a) privater Schlüssel
>>> b) öffentlicher Schlüssel
>>> c) Zertifikat
>>
>> Mir ist bewusst, dass ein Zertifikat den öffentlichen Schlüssel
>> signiert und auch dass der private Schlüssel den eigenen Computer
>> niemals verlässt. Auch nicht an die CA. Aber wie stellen wir sicher,
>> dass dies bei allen Nutzern so ist? Wie man an dieser Diskussion
>> sieht,
>> scheint es da größere Unklarheiten zu geben.
>
> Der formale Text ist halt eine Art AGB und da steht präzise der
> Fachbegriff
> "Zertifikat" drin. Die "Exegese" des Textes ;-) kann man anders und
> ggf.
> sogar kürzer formulieren. Zum Beispiel als Kurzanleitung, FAQ oder
> Ähnliches, die den Unterschied zwischen den Begriffen dem Laien erklärt
> und
> Fragen wie "Darf ich X weitergeben?" im Klartext beantwortet.
>
> --jc
>
> --
> A great many of today's security technologies are "secure" only
> because
> no-one has ever bothered attacking them. -- Peter Gutmann
Wilm Maier
2015-09-30 16:44:17 UTC
Permalink
Hallo Liste,

die Resonanz ist ja unglaublich.

Viele GrÌße

Wilm



Date sent: Mon, 28 Sep 2015 14:09:26 +0200
From: Wilm Maier <***@mupan.de>
To: cacert-***@lists.cacert.org
Subject: Re: DÃŒrfen Mitglieder Zertifikate fÃŒr
Nicht-Mitglieder erstellen?
Send reply to: cacert-***@lists.cacert.org

>
> Hallo Liste,
>
> im Job bin ich gelegentlich in der Rolle des in diesem Thread paar Mal
> zitierten Admins. Wer bezahlt, wer eine DomÀne kontrolliert, wer die
> Kontrolle ÃŒber SchlÃŒssel und ÃŒber Zertifikate hat, wer sie auf
> Firewalls, Reverse-Proxys, Webservern einspielt, das ist in der
> kommerziellen Welt oft ÃŒber verschiedene natÃŒrliche und juristische
> Personen verteilt, und nicht nur innerhalb von Konzernen, wo es
> vielleicht Gesamtverantwortliche gÀbe, sondern auch auf Kunden und
> Dienstleister, also komplett voneinander organisatorisch unabhÀngige
> Körperschaften, verteilt. Wir sollten diese Welt, in der die
> Sicherheit unter Aufwands- und damit letztlich unter
> Finanzierungsvorbehalt steht, den kommerziellen CAs ÃŒberlassen und
> uns davon absetzen.
>
> Als OrgAdmin muss ich die SchlÃŒssel zu Serverzertifikaten an Servern
> einspielen, auf die andere Admins Zugriff haben. Dann sollte ich sie
> mit Kennwort gegen Export aus dem jeweiligen Store schÃŒtzen, soweit
> das machbar ist. SchlÃŒssel und CSR zu Client-Zertifikaten z.B. fÃŒr
> E-Mail können ja die Kollegen mittlerweile selbst erzeugen, ich muss
> als OrgAdmin ja nur noch mit CSR und Zertifikat hantieren, also, dem
> öffentlichen Teil.
>
> Ein bisschen "grau" sind in dieser Hinsicht die
> Codesigning-Zertifikate, mit denen wir unsere Installer signieren, um
> die fiese Windows-Meldung "Unbekannter Herausgeber" zu umgehen. (Mal
> sehen, wann daraus "Nicht von MS / Verisign zertifizierter
> Herausgeber" wird ... OK, das war ein dÃŒsterer Scherz.) Unsere
> .NET-Entwickler haben das Signieren in ihren MS-Build-Skripten
> automatisiert, dafÃŒr habe ich ihnen auch den SchlÃŒssel zur
> VerfÃŒgung stellen mÃŒssen. Als E-Mail-Adresse haben wir hier eine
> Teamadresse genommen. Wie handhabt ihr so etwas? Können wir uns da
> eventuell noch, im Sinne des CACert-Geistes, verbessern?
>
> GrÌßle,
>
> Wilm
>
>
>
> ---
> per Webmail
> _______________________
>
> Ich bin Assurer = IdentitÀtsprÌfer von CACert [1]. Nicht WhatsApp:
> ***@swissjabber.org -- Nicht Facebook: Xing [2] -- Blog [3]
>
>
> Links:
> ------
> [1] https://cacert.eu
> [2] https://www.xing.com/profile/Wilm_Maier
> [3] https://cruisinit.wordpress.com
>
> Am 28.09.2015 11:29, schrieb RÃŒdiger Schultz:
> > Hallo,
> >
> > Bitte erinnert Euch daran, dass z.B. Ladar Levison von LAVABIT.COM
> > sein Unternehmen lieber zugesperrt hat, als den "privaten
> > SchlÃŒssel" seiner Serverzertifikate jemandem dritten (in diesem
> > Fall der NSA direkt) zugÀnglich zu machen. Das signalisiert, wie
> > "wertvoll und sensibel" der private SchlÃŒssel ist, mit dessen Hilfe
> > Zertifikate einer Person (juristisch oder natÃŒrlich) zugeordnet
> > werden kann.
> >
> > Den "privaten SchlÃŒssel" eines Zertifikates an irgendjemanden
> > weiterzugeben, ist m.E. nach grob fahrlÀssig!
> >
> > Das hat zwar "auch" mit den Regeln von CAcert zu tun, in erster
> > Linie aber mit "verantwortlichem Handeln".
> >
> > Liebe GrÃŒsse
> > RÃŒdiger
> >
> >
> > -----UrsprÃŒngliche Nachricht-----
> > Von: cacert-de-***@lists.cacert.org
> > [mailto:cacert-de-***@lists.cacert.org] Im Auftrag von Juergen
> > Christoffel Gesendet: Montag, 28. September 2015 10:44 An:
> > cacert-***@lists.cacert.org Betreff: Re: DÃŒrfen Mitglieder
> > Zertifikate fÃŒr Nicht-Mitglieder erstellen?
> >
> > On Mon, Sep 28, 2015 at 10:03:00AM +0200, S. H.
> > wrote:
> >> Juergen Christoffel wrote on 28.09.2015 09:50:
> >>> Das muss nicht besser formuliert werden, die Leser mÃŒssen sich
> >>> nur ÃŒber die Begriffe im Klaren sein, die sie verwenden:
> >>>
> >>> a) privater SchlÃŒssel
> >>> b) öffentlicher SchlÌssel
> >>> c) Zertifikat
> >>
> >> Mir ist bewusst, dass ein Zertifikat den öffentlichen SchlÌssel
> >> signiert und auch dass der private SchlÃŒssel den eigenen Computer
> >> niemals verlÀsst. Auch nicht an die CA. Aber wie stellen wir
> >> sicher, dass dies bei allen Nutzern so ist? Wie man an dieser
> >> Diskussion sieht, scheint es da größere Unklarheiten zu geben.
> >
> > Der formale Text ist halt eine Art AGB und da steht prÀzise der
> > Fachbegriff "Zertifikat" drin. Die "Exegese" des Textes ;-) kann man
> > anders und ggf. sogar kÃŒrzer formulieren. Zum Beispiel als
> > Kurzanleitung, FAQ oder Ähnliches, die den Unterschied zwischen den
> > Begriffen dem Laien erklÀrt und Fragen wie "Darf ich X
> > weitergeben?" im Klartext beantwortet.
> >
> > --jc
> >
> > --
> > A great many of today's security technologies are "secure" only
> > because
> > no-one has ever bothered attacking them. -- Peter Gutmann
S. H.
2015-09-30 17:29:33 UTC
Permalink
> Am 30.09.2015 um 18:44 schrieb Wilm Maier <***@mupan.de>:
>
> die Resonanz ist ja unglaublich.

Wie meinst du?
Wilm Maier
2015-09-30 17:37:41 UTC
Permalink
Ich meinte, die Resonanz auf meinen Diskussions- und Fragenbeitrag
;-)


>
> > Am 30.09.2015 um 18:44 schrieb Wilm Maier <***@mupan.de>:
> >
> > die Resonanz ist ja unglaublich.
>
> Wie meinst du?
Jörg Kastning
2015-09-27 20:34:35 UTC
Permalink
Am 27.09.2015 um 21:50 schrieb Bernd Jantzen:
> Ja, natÌrlich ist hier in der CCA die Weitergabe und Benutzung des öffentlichen
> SchlÌssels durch Dritte gemeint. Der private SchlÌssel muss immer in den HÀnden
> des Erzeugers verbleiben, sonst ist er kompromittiert und mÃŒsste widerrufen
> werden. Das Zertifikat (das vom CAcert-Server signiert wird) enthÀlt nur den
> öffentlichen, nicht den privaten SchlÌssel.
>

So habe ich mir das bisher auch immer vorgestellt. Der Satz im CCA hat
mich jedoch kurzzeitig verwirrt.

Danke fÃŒr die Klarstellung an dieser Stelle.

MfG
Jörg

--
E-Mail: ***@my-it-brain.de
Twitter: https://twitter.com/JoergKastning
Internet: http://www.my-it-brain.de
Threema-ID: K2Y6W49N
OpenPGP-ID: 7A302E30
OpenPGP-Fingerabdruck:
2026 DF56 89B6 F79A E776 B15B 55E2 83FB 7A30 2E30
Michael Nausch
2015-09-27 21:08:12 UTC
Permalink
HI!

Am 27.09.2015 um 21:38 schrieb Stefan Thode:

> Bei Server Zertifikaten, die als P12-Datei weitergegeben werden, ist der
> Private-Key enthalten.

Jo, aber wer nutzt schon Serverzertifikate als pkcs12? ;) Also ich
definitiv nicht.


Servus
Django
Michael Nausch
2015-09-27 19:23:59 UTC
Permalink
HI!

Am 27.09.2015 um 20:28 schrieb Wilm Maier:

> kann ich mir nicht vorstellen. Wie sollte das gehen?

Na, z.B. so:
1) Der dritte hat z.B. sich die Domäne example.com registriert.
2) Ich trage example.com bei meinem Account ein und bestätige dies,
in dem ich die eMail mit dem Bestätigungslink erhalte/verschaffe.
3) Der dritte erstellt einen CSR und übermittelt mir diesen.
4) Ich kippe den CSR bei CAcert ein und reiche dann das Zertifikat
an den dritten weiter.

So würde ich das amchen, wenn ich das bräuchte!

> Das ganze
> Identitätsprüfungssystem wäre im Eimer.

Hä, wieso das denn?


Servus
Django
Bernhard Fröhlich
2015-09-28 08:28:31 UTC
Permalink
Am 27.09.2015 um 21:23 schrieb Michael Nausch:
> HI!
>
> Am 27.09.2015 um 20:28 schrieb Wilm Maier:
>
>> kann ich mir nicht vorstellen. Wie sollte das gehen?
> Na, z.B. so:
> 1) Der dritte hat z.B. sich die DomÀne example.com registriert.
> 2) Ich trage example.com bei meinem Account ein und bestÀtige dies,
> in dem ich die eMail mit dem BestÀtigungslink erhalte/verschaffe.
> 3) Der dritte erstellt einen CSR und ÃŒbermittelt mir diesen.
> 4) Ich kippe den CSR bei CAcert ein und reiche dann das Zertifikat
> an den dritten weiter.
>
> So wÌrde ich das amchen, wenn ich das brÀuchte!

Bei Server-Zertifikaten ist diese Prozedur wohl relativ ÃŒblich. Es gibt
aber auch ziemlich laute Stimmen gibt die der Meinung sind dass das
nicht den Policies entspricht.

Eine definitive Entscheidung darÃŒber kenne ich bisher nicht, man sollte
sich aber auf jeden Fall klarmachen dass man mit dieser Prozedur
Verantwortung ÃŒbernimmt! Wenn ein irgendwie gelagerter Dispute gegen die
Webseite eingereicht wird, dann wird der zuerst beim Inhaber des Kontos
landen, aus dem das Zertifikat erstellt wurde. Und wenn "der dritte"
dann unauffindbar ist oder sich sehr dumm stellt, könnte das u.U. auch
peinliche Konsequenzen fÃŒr den Zertifikats-Aussteller haben!

Wenn "der dritte" in der Runde eine Firma oder sowas ist dann wÀre die
saubere Lösung fÌr die Firma eine Org Assurance zu machen,
möglicherweise mit sich selbst als Administrator.

MfG
Ted
Michael Nausch
2015-09-28 08:36:07 UTC
Permalink
Griasde Bernhard,

Am 28.09.2015 um 10:28 schrieb Bernhard Fröhlich:

>> So würde ich das amchen, wenn ich das bräuchte!
>
> Bei Server-Zertifikaten ist diese Prozedur wohl relativ üblich. Es gibt
> aber auch ziemlich laute Stimmen gibt die der Meinung sind dass das
> nicht den Policies entspricht.

Hey, ich habe gesagt, das ich das (theoretisch) so machen würde, wenn
ich es brauchen täte. Das einzigste für mich denkbare Szenario wäre,
wenn mein Sohn ein Zertifikat für seinen Mailserver bräuchte.


Pfiade
Django
S. H.
2015-09-28 08:39:33 UTC
Permalink
Bernhard Fröhlich wrote on 28.09.2015 10:28:
> Eine definitive Entscheidung darÃŒber kenne ich bisher nicht, man sollte
> sich aber auf jeden Fall klarmachen dass man mit dieser Prozedur
> Verantwortung ÃŒbernimmt! Wenn ein irgendwie gelagerter Dispute gegen die
> Webseite eingereicht wird, dann wird der zuerst beim Inhaber des Kontos
> landen, aus dem das Zertifikat erstellt wurde. Und wenn "der dritte"
> dann unauffindbar ist oder sich sehr dumm stellt, könnte das u.U. auch
> peinliche Konsequenzen fÃŒr den Zertifikats-Aussteller haben!

Vor allem sollte sich auch jeder der soetwas tut bewusst machen, dass er
damit im Zweifel auch der Community schadet. Wenn ich mich selbst auf
die Zertifikate verlassen möchte und auch will dass andere sich auf
meine verlassen, dann bedeutet es auch, dass ich die GrundsÀtze von
CAcert schÌtzen möchte. Wenn ich als Admin betreuend fÌr eine
Kunden-Website tÀtig bin, wo ich die Kontrolle habe, könnte ich mir so
ein Vorgehen noch vorstellen. In allen anderen FÀllen, wÌrde ich dem
dritten nahe legen, sich selbst bei CAcert anzumelden.
Michael Nausch
2015-09-27 19:18:02 UTC
Permalink
HI!

Am 27.09.2015 um 20:10 schrieb Jörg Kastning:

> Verstehe ich es richtig, dass ein Mitglied mit dem eigenen Account
> Zertifikate zur Nutzung durch einen Dritten erstellen darf? Das Mitglied
> führt also die Domain-Validierung und die Erzeugung der Zertifikate
> durch und gibt diese dann an die dritte Person weiter, damit diese das
> Zertifikat z.B. auf einem Webserver installieren kann.
>
> Habe ich die Aussage aus dem CCA damit korrekt interpretiert?

Ich bin mir da auch nicht ganz sicher, aber so würde ich das auch
interprätieren. Was aber nicht heissen soll, dass ich das machen würde.


ttyl
Michael
Bernhard Fröhlich
2015-09-28 08:08:04 UTC
Permalink
Hallo zusammen,

ein Zitat aus genannter CCA im Abschnitt "0.1 Terms" ist:

9. "USE" means the act by your software to conduct its tasks,
incorporating the certificates according to software procedures.
[...]
11. "OFFER" means the your act of making available your certificate to
another person. [...]

D.h. "USE" bedeutet unter anderem auch dass die Software der
angesprochenen Person das Zertifikat verwenden darf, z.B. um eine Mail
als "gÃŒltig signiert" oder eine HTTPS-Verbindung als "gesichert" anzuzeigen.
Unter "OFFER" wird verstanden dass dein Zertifikat (und _nicht_ der
private SchlÃŒssel) einem GegenÃŒber angeboten wird, in der Regel zur
ÜberprÃŒfung einer Signatur oder der GÃŒltigkeit des Zertifikats.

Damit wird aus §1.2 Satz 4 die Erlaubnis das eigene Zertifikat _auch
Nicht-CAcert-Mitgliedern_ zur ÜberprÃŒfung anzubieten. Wobei aus dem
vorangehenden Satz 3 folgt dass ein Nicht-Mitglied sÀmtliche Folgerungen
aus einem Zertifikat auf eigene Verantwortung macht.

Eventuell könnte man bei 0.1.11 noch ein "... to another person /for
verification/." einfÌgen, aber dann könnte wieder jemand auf die Idee
kommen dass man zwar das Zertifikat selbst ÃŒberprÃŒfen darf, nicht aber
die Signatur einer Nachricht. Darum wurde hier wohl darauf verzichtet.
Wer VorschlÀge hat das klarer, aber trotzdem verstÀndlich und eindeutig
zu formulieren, bitte gerne. Aber einfach ist das nicht, und vieles
wurde auch schon ÃŒberlegt und wieder verworfen. :-\

N.B.: Es ist nicht prinzipiell ausgeschlossen dass man Zertifikate fÃŒr
andere Personen ausstellt! Bei der "Org Assurance"
(https://wiki.cacert.org/OrganisationAssurance) macht das letztendlich
der Administrator der Organisation (Firma, Verein o.À) fÌr die
Mitglieder/Mitarbeiter. Aber natÃŒrlich ÃŒbernimmt damit der Administrator
die Verantwortung dafÃŒr dass er oder sie keine "falschen" Zertifikate
ausstellt. Wenn er das trotzdem tut kann er persönlich, wie auch die
Organisation, per Arbitration zur Verantwortung gezogen und z.B. zu
Schadensersatz verdonnert werden.

MfG
Ted
;)

Am 27.09.2015 um 20:10 schrieb Jörg Kastning:
> Hallo,
>
> ich habe mir das CAcert Community Agreement (CCA) (URL:
> https://www.cacert.org/policy/CAcertCommunityAgreement.html) in
> Erinnerung gerufen. Dabei bin ich bei bei §1.2 Satz 4 hÀngen geblieben:
> "You may OFFER certificates issued to you by CAcert to NRPs for their
> USE, within the general principles of the Community."
>
> Verstehe ich es richtig, dass ein Mitglied mit dem eigenen Account
> Zertifikate zur Nutzung durch einen Dritten erstellen darf? Das Mitglied
> fÃŒhrt also die Domain-Validierung und die Erzeugung der Zertifikate
> durch und gibt diese dann an die dritte Person weiter, damit diese das
> Zertifikat z.B. auf einem Webserver installieren kann.
>
> Habe ich die Aussage aus dem CCA damit korrekt interpretiert?
>
> Viele GrÌße
> Jörg Kastning
>
Loading...