Hallo Liste,
die Resonanz ist ja unglaublich.
Viele GrÃŒÃe
Wilm
Date sent: Mon, 28 Sep 2015 14:09:26 +0200
From: Wilm Maier <***@mupan.de>
To: cacert-***@lists.cacert.org
Subject: Re: DÃŒrfen Mitglieder Zertifikate fÃŒr
Nicht-Mitglieder erstellen?
Send reply to: cacert-***@lists.cacert.org
>
> Hallo Liste,
>
> im Job bin ich gelegentlich in der Rolle des in diesem Thread paar Mal
> zitierten Admins. Wer bezahlt, wer eine DomÀne kontrolliert, wer die
> Kontrolle ÃŒber SchlÃŒssel und ÃŒber Zertifikate hat, wer sie auf
> Firewalls, Reverse-Proxys, Webservern einspielt, das ist in der
> kommerziellen Welt oft ÃŒber verschiedene natÃŒrliche und juristische
> Personen verteilt, und nicht nur innerhalb von Konzernen, wo es
> vielleicht Gesamtverantwortliche gÀbe, sondern auch auf Kunden und
> Dienstleister, also komplett voneinander organisatorisch unabhÀngige
> Körperschaften, verteilt. Wir sollten diese Welt, in der die
> Sicherheit unter Aufwands- und damit letztlich unter
> Finanzierungsvorbehalt steht, den kommerziellen CAs ÃŒberlassen und
> uns davon absetzen.
>
> Als OrgAdmin muss ich die SchlÃŒssel zu Serverzertifikaten an Servern
> einspielen, auf die andere Admins Zugriff haben. Dann sollte ich sie
> mit Kennwort gegen Export aus dem jeweiligen Store schÃŒtzen, soweit
> das machbar ist. SchlÃŒssel und CSR zu Client-Zertifikaten z.B. fÃŒr
> E-Mail können ja die Kollegen mittlerweile selbst erzeugen, ich muss
> als OrgAdmin ja nur noch mit CSR und Zertifikat hantieren, also, dem
> öffentlichen Teil.
>
> Ein bisschen "grau" sind in dieser Hinsicht die
> Codesigning-Zertifikate, mit denen wir unsere Installer signieren, um
> die fiese Windows-Meldung "Unbekannter Herausgeber" zu umgehen. (Mal
> sehen, wann daraus "Nicht von MS / Verisign zertifizierter
> Herausgeber" wird ... OK, das war ein dÃŒsterer Scherz.) Unsere
> .NET-Entwickler haben das Signieren in ihren MS-Build-Skripten
> automatisiert, dafÃŒr habe ich ihnen auch den SchlÃŒssel zur
> VerfÃŒgung stellen mÃŒssen. Als E-Mail-Adresse haben wir hier eine
> Teamadresse genommen. Wie handhabt ihr so etwas? Können wir uns da
> eventuell noch, im Sinne des CACert-Geistes, verbessern?
>
> GrÃŒÃle,
>
> Wilm
>
>
>
> ---
> per Webmail
> _______________________
>
> Ich bin Assurer = IdentitÀtsprÌfer von CACert [1]. Nicht WhatsApp:
> ***@swissjabber.org -- Nicht Facebook: Xing [2] -- Blog [3]
>
>
> Links:
> ------
> [1] https://cacert.eu
> [2] https://www.xing.com/profile/Wilm_Maier
> [3] https://cruisinit.wordpress.com
>
> Am 28.09.2015 11:29, schrieb RÃŒdiger Schultz:
> > Hallo,
> >
> > Bitte erinnert Euch daran, dass z.B. Ladar Levison von LAVABIT.COM
> > sein Unternehmen lieber zugesperrt hat, als den "privaten
> > SchlÃŒssel" seiner Serverzertifikate jemandem dritten (in diesem
> > Fall der NSA direkt) zugÀnglich zu machen. Das signalisiert, wie
> > "wertvoll und sensibel" der private SchlÃŒssel ist, mit dessen Hilfe
> > Zertifikate einer Person (juristisch oder natÃŒrlich) zugeordnet
> > werden kann.
> >
> > Den "privaten SchlÃŒssel" eines Zertifikates an irgendjemanden
> > weiterzugeben, ist m.E. nach grob fahrlÀssig!
> >
> > Das hat zwar "auch" mit den Regeln von CAcert zu tun, in erster
> > Linie aber mit "verantwortlichem Handeln".
> >
> > Liebe GrÃŒsse
> > RÃŒdiger
> >
> >
> > -----UrsprÃŒngliche Nachricht-----
> > Von: cacert-de-***@lists.cacert.org
> > [mailto:cacert-de-***@lists.cacert.org] Im Auftrag von Juergen
> > Christoffel Gesendet: Montag, 28. September 2015 10:44 An:
> > cacert-***@lists.cacert.org Betreff: Re: DÃŒrfen Mitglieder
> > Zertifikate fÃŒr Nicht-Mitglieder erstellen?
> >
> > On Mon, Sep 28, 2015 at 10:03:00AM +0200, S. H.
> > wrote:
> >> Juergen Christoffel wrote on 28.09.2015 09:50:
> >>> Das muss nicht besser formuliert werden, die Leser mÃŒssen sich
> >>> nur ÃŒber die Begriffe im Klaren sein, die sie verwenden:
> >>>
> >>> a) privater SchlÃŒssel
> >>> b) öffentlicher SchlÌssel
> >>> c) Zertifikat
> >>
> >> Mir ist bewusst, dass ein Zertifikat den öffentlichen SchlÌssel
> >> signiert und auch dass der private SchlÃŒssel den eigenen Computer
> >> niemals verlÀsst. Auch nicht an die CA. Aber wie stellen wir
> >> sicher, dass dies bei allen Nutzern so ist? Wie man an dieser
> >> Diskussion sieht, scheint es da gröÃere Unklarheiten zu geben.
> >
> > Der formale Text ist halt eine Art AGB und da steht prÀzise der
> > Fachbegriff "Zertifikat" drin. Die "Exegese" des Textes ;-) kann man
> > anders und ggf. sogar kÃŒrzer formulieren. Zum Beispiel als
> > Kurzanleitung, FAQ oder Ãhnliches, die den Unterschied zwischen den
> > Begriffen dem Laien erklÀrt und Fragen wie "Darf ich X
> > weitergeben?" im Klartext beantwortet.
> >
> > --jc
> >
> > --
> > A great many of today's security technologies are "secure" only
> > because
> > no-one has ever bothered attacking them. -- Peter Gutmann