Discussion:
Domain und Zertifikate zu einem anderen Account transferieren
Jörg Kastning
2015-10-26 15:48:22 UTC
Permalink
Hallo zusammen,

ist es möglich Server-Zertifikate und Domains von einem CAcert-Account
zu einem anderen CAcert-Account umzuziehen, ohne die Domain zu löschen
und sÀmtliche Zertifikate widerrufen zu mÌssen?

Angenommen ich verwalte die Domain example.com und habe diverse
Serverzertifikate fÃŒr diese Domain ausgestellt. So z.B. fÃŒr
www.example.com und mail.example.com. Nun gebe ich die Verwaltung und
den Zugriff auf die Domain example.com an eine Person ab, die ebenfalls
CAcert-Mitglied ist. Ist es in diesem Fall möglich, dass die
ausgestellten Zertifikate und die Domain in den Account des neuen
Domain-Admins Ìbertragen werden können?

Oder mÃŒssen alle Zertifikate widerrufen und die Domain in meinem Account
gelöscht werden, so dass der zukÌnftige Admin sowohl Domain als auch
Zertifikate in seinem Account neu generieren kann?

Viele GrÌße
Jörg Kastning
--
E-Mail: ***@my-it-brain.de
Twitter: https://twitter.com/JoergKastning
Internet: http://www.my-it-brain.de
Threema-ID: K2Y6W49N
OpenPGP-ID: 7A302E30
OpenPGP-Fingerabdruck:
2026 DF56 89B6 F79A E776 B15B 55E2 83FB 7A30 2E30
S. H.
2015-10-26 15:58:50 UTC
Permalink
Post by Jörg Kastning
Nun gebe ich die Verwaltung und
den Zugriff auf die Domain example.com an eine Person ab, die ebenfalls
CAcert-Mitglied ist. Ist es in diesem Fall möglich, dass die
ausgestellten Zertifikate und die Domain in den Account des neuen
Domain-Admins Ìbertragen werden können?
Oder mÃŒssen alle Zertifikate widerrufen und die Domain in meinem Account
gelöscht werden, so dass der zukÌnftige Admin sowohl Domain als auch
Zertifikate in seinem Account neu generieren kann?
DAS. Denn die Zertifikate werden fÃŒr dich ausgestellt und auch nur du hast die privaten SchlÃŒssel dazu, welche du nicht weiter geben darfst. Der neue Besitzer muss sich eigene SchlÃŒsselpaare erstellen. Alleine schon deshalb mÃŒssen neue Zertifikate her.
Johannes Matheis
2015-10-26 16:54:36 UTC
Permalink
Quoting S. H. (2015-10-26 15:58:50)
Oder müssen alle Zertifikate widerrufen und die Domain in meinem Account
gelöscht werden, so dass der zukünftige Admin sowohl Domain als auch
Zertifikate in seinem Account neu generieren kann?
DAS. Denn die Zertifikate werden für dich ausgestellt und auch nur du hast die privaten Schlüssel dazu, welche du nicht weiter geben darfst. Der neue Besitzer muss sich eigene Schlüsselpaare erstellen. Alleine schon deshalb müssen neue Zertifikate her.
Das ist ja schon sehr realitätsfern.

Ich selbst habe gerade den Fall, dass ich einer von mehrern Admins eines
Vereins bin, und für jeden neuen Service den CSR an ein anderes, wenig
aktives Mitglied senden muss, das die Domain in in seinem Account hat.

Hier wäre es sinnvoller, die Domain in den Account eines aktiveren Admins
zu uebertragen, was aber nicht möglich ist, da dabei sämtliche Zertifikate
revoked werden.

Es ist übrigens auch sinnlos, dass eine Domain nicht in mehreren Accounts
sein kann, obwohl die Infrastruktur von mehreren Admins verwaltet wird,
die deutlich vertrauenswürdiger sind, als der Helpdesk vom Domainreseller,
der aus den Whois-Daten zur Besitzerüberprüfung herangezogen wird - aber
das ist nochmal eine ganz andere Geschichte.

Viele Grüße,
jomat
Stefan Neufeind
2015-10-26 17:01:10 UTC
Permalink
Post by Johannes Matheis
Quoting S. H. (2015-10-26 15:58:50)
Oder müssen alle Zertifikate widerrufen und die Domain in meinem Account
gelöscht werden, so dass der zukünftige Admin sowohl Domain als auch
Zertifikate in seinem Account neu generieren kann?
DAS. Denn die Zertifikate werden für dich ausgestellt und auch nur du hast die privaten Schlüssel dazu, welche du nicht weiter geben darfst. Der neue Besitzer muss sich eigene Schlüsselpaare erstellen. Alleine schon deshalb müssen neue Zertifikate her.
Das ist ja schon sehr realitätsfern.
Ich selbst habe gerade den Fall, dass ich einer von mehrern Admins eines
Vereins bin, und für jeden neuen Service den CSR an ein anderes, wenig
aktives Mitglied senden muss, das die Domain in in seinem Account hat.
Hier wäre es sinnvoller, die Domain in den Account eines aktiveren Admins
zu uebertragen, was aber nicht möglich ist, da dabei sämtliche Zertifikate
revoked werden.
[...]

Hi,

dann wäre die Organisations-Zertifierung vielleicht eher richtig für
euch? Hierbei kann es dann mehrere (und auch wechselnde) Admins geben.
Die Zertifikate gehören dann der Organisation und nicht den Personen.


Grüße,
Stefan
Stefan Dorn
2015-10-26 17:04:56 UTC
Permalink
Hier wÃŒrde mich gleich interessieren, ob eine "Organisation Assurance"
fÌr Vereine (eingetragen, nicht eingetragen) und hauptsÀchlich auch fÌr
"Familien" möglich wÀre.

Mit freundlichen GrÌßen
Stefan Dorn

***
Diese E-Mail und evtl. AnhÀnge wurden digital unterschrieben.
FÃŒr weitere Infos: www.stefandorn.de/go/encryption
***
Post by Johannes Matheis
Quoting S. H. (2015-10-26 15:58:50)
Post by S. H.
Post by Jörg Kastning
Oder mÃŒssen alle Zertifikate widerrufen und die Domain in meinem Account
gelöscht werden, so dass der zukÌnftige Admin sowohl Domain als auch
Zertifikate in seinem Account neu generieren kann?
DAS. Denn die Zertifikate werden fÃŒr dich ausgestellt und auch nur du hast die privaten SchlÃŒssel dazu, welche du nicht weiter geben darfst. Der neue Besitzer muss sich eigene SchlÃŒsselpaare erstellen. Alleine schon deshalb mÃŒssen neue Zertifikate her.
Das ist ja schon sehr realitÀtsfern.
Ich selbst habe gerade den Fall, dass ich einer von mehrern Admins eines
Vereins bin, und fÃŒr jeden neuen Service den CSR an ein anderes, wenig
aktives Mitglied senden muss, das die Domain in in seinem Account hat.
Hier wÀre es sinnvoller, die Domain in den Account eines aktiveren Admins
zu uebertragen, was aber nicht möglich ist, da dabei sÀmtliche Zertifikate
revoked werden.
[...]
Hi,
dann wÀre die Organisations-Zertifierung vielleicht eher richtig fÌr
euch? Hierbei kann es dann mehrere (und auch wechselnde) Admins geben.
Die Zertifikate gehören dann der Organisation und nicht den Personen.
GrÌße,
Stefan
Stefan Biernoth
2015-10-26 17:43:07 UTC
Permalink
Hallo zusammen,

An einer Zertifizierung eines Vereines wäre ich auch interessiert. Aber das
ist letztendlich eine andere Fragestellung

Grüße Stefan


-----Ursprüngliche Nachricht-----
Von: cacert-de-***@lists.cacert.org
[mailto:cacert-de-***@lists.cacert.org] Im Auftrag von Stefan Dorn
Gesendet: Montag, 26. Oktober 2015 18:05
An: cacert-***@lists.cacert.org
Betreff: Re: Domain und Zertifikate zu einem anderen Account transferieren

Hier würde mich gleich interessieren, ob eine "Organisation Assurance"
für Vereine (eingetragen, nicht eingetragen) und hauptsächlich auch für
"Familien" möglich wäre.

Mit freundlichen Grüßen
Stefan Dorn

***
Diese E-Mail und evtl. Anhänge wurden digital unterschrieben.
Für weitere Infos: www.stefandorn.de/go/encryption
***
Post by Stefan Neufeind
Post by Johannes Matheis
Quoting S. H. (2015-10-26 15:58:50)
Am 26.10.2015 um 16:48 schrieb Jörg Kastning
Oder müssen alle Zertifikate widerrufen und die Domain in meinem
Account gelöscht werden, so dass der zukünftige Admin sowohl Domain
als auch Zertifikate in seinem Account neu generieren kann?
DAS. Denn die Zertifikate werden für dich ausgestellt und auch nur du
hast die privaten Schlüssel dazu, welche du nicht weiter geben darfst. Der
neue Besitzer muss sich eigene Schlüsselpaare erstellen. Alleine schon
deshalb müssen neue Zertifikate her.
Post by Stefan Neufeind
Post by Johannes Matheis
Das ist ja schon sehr realitätsfern.
Ich selbst habe gerade den Fall, dass ich einer von mehrern Admins
eines Vereins bin, und für jeden neuen Service den CSR an ein
anderes, wenig aktives Mitglied senden muss, das die Domain in in seinem
Account hat.
Post by Stefan Neufeind
Post by Johannes Matheis
Hier wäre es sinnvoller, die Domain in den Account eines aktiveren
Admins zu uebertragen, was aber nicht möglich ist, da dabei sämtliche
Zertifikate revoked werden.
[...]
Hi,
dann wäre die Organisations-Zertifierung vielleicht eher richtig für
euch? Hierbei kann es dann mehrere (und auch wechselnde) Admins geben.
Die Zertifikate gehören dann der Organisation und nicht den Personen.
Grüße,
Stefan
S. H.
2015-10-26 17:50:36 UTC
Permalink
Post by Johannes Matheis
Hier wÀre es sinnvoller, die Domain in den Account eines aktiveren Admins
zu uebertragen, was aber nicht möglich ist, da dabei sÀmtliche Zertifikate
revoked werden.
Dann erstellst du eben neue. Das wird keine CA der Welt anders machen.
Dass du dann einen anderen Webmaster die Seiten gestalten lÀsst ist ja
kein Problem. Du mussst nur wissen, dass du verantwortlich bist, fÃŒr
das, was mit deinen Zertifikaten passiert.
Johannes Matheis
2015-10-26 19:04:11 UTC
Permalink
Hallo,

Quoting S. H. (2015-10-26 17:50:36)
Post by S. H.
Post by Johannes Matheis
Hier wäre es sinnvoller, die Domain in den Account eines aktiveren Admins
zu uebertragen, was aber nicht möglich ist, da dabei sämtliche Zertifikate
revoked werden.
Dann erstellst du eben neue.
Dadurch dass keine Wildcard-Certs verwendet werden sollen (RFC 6125) ist das
'ne Menge unnötige Arbeit, die noch dazu mit einer Downtime der Services
verbunden ist, da die Zertifikate ja revoked werden, bevor man neue ausstellen
kann. Und das obwohl das andere Mitglied ja nach wie vor volles Vertrauen
genießt. Aber ja, ich mach mich mal über Organisationsaccounts schlau.
Post by S. H.
Das wird keine CA der Welt anders machen.
Ich bin sehr großer Fan von CaCert, da schmerzt mich ein Vergleich mit
anderen CAs. Nur weil hundert Fliegen auf dem Haufen sitzen, heisst das
nicht, dass er gut ist.
Post by S. H.
Dass du dann einen anderen Webmaster die Seiten gestalten lässt ist ja
kein Problem. Du mussst nur wissen, dass du verantwortlich bist, für
das, was mit deinen Zertifikaten passiert.
Es geht nicht nur um Websites, und das steht ausserdem im Widerspruch zu
der ursprünglichen Aussage, dass man die Keys nicht weitergeben darf, die
das ausstellende Mitglied im Idealfall ja nichtmal zu Gesicht bekommt.

cu,
jomat
S. H.
2015-10-26 19:21:52 UTC
Permalink
Ich bin sehr großer Fan von CaCert, da schmerzt mich ein Vergleich mit
anderen CAs. Nur weil hundert Fliegen auf dem Haufen sitzen, heisst das
nicht, dass er gut ist.
Vielleicht. ;)
Aber in den meisten FÀllen kannst du es als Indiz sehen, dass sich da
schon viele Leute mit befasst haben und sicherlich gute GrÃŒnde hatten,
es so und nicht anders zu regeln. Geh einfach mal davon aus, dass du
allein es nicht besser weißt, als all die Leute vor dir, die sich
wahrscheinlich sehr genau mit der Materie befasst haben. In der Regel
haben sie Recht, auch wenn einem die GrÃŒnde selbst vielleicht nicht
sofort einfallen.
Johannes Matheis
2015-10-26 21:30:44 UTC
Permalink
Quoting S. H. (2015-10-26 19:21:52)
Post by S. H.
Post by Johannes Matheis
Nur weil hundert Fliegen auf dem Haufen sitzen, heisst das
nicht, dass er gut ist.
Vielleicht. ;)
Aber in den meisten Fällen kannst du es als Indiz sehen, dass sich da
schon viele Leute mit befasst haben und sicherlich gute Gründe hatten,
es so und nicht anders zu regeln. Geh einfach mal davon aus, dass du
allein es nicht besser weißt, als all die Leute vor dir, die sich
wahrscheinlich sehr genau mit der Materie befasst haben. In der Regel
haben sie Recht, auch wenn einem die Gründe selbst vielleicht nicht
sofort einfallen.
Ich gehe davon aus, dass sich keine einizge kommerzgetriebene CA ansatzweise
so viele Gedanken um derartige Fragen macht, wie CaCert. Auch das begründet
den Reiz dieser CA.

Diese ca. 1.5-stündige Unterhaltung mit dem King of Snakeoil untermauert
diesen Verdacht:
https://0.jmt.gr/?39b58e536c2919f6#KZFjSn3Hcmk1jQvZ04wFJgssyjP2QpAcrwti4Tcb21Q=

Ganz am Ende wird auch bestätigt, dass ausgestellte Zertifikate bis zum
Ablaufdatum weiterlaufen, wenn eine Domain in einen anderen Account
transferiert wird.
S. H.
2015-10-26 22:27:05 UTC
Permalink
Post by Johannes Matheis
Ich gehe davon aus, dass sich keine einizge kommerzgetriebene CA ansatzweise
so viele Gedanken um derartige Fragen macht, wie CaCert.
Das wÃŒrde ich so nicht sagen. FÃŒr die hÀngt ihre wirtschaftliche Existenz davon ab, dass ihnen vertraut wird. Du weißt sicher wie es DigiNotar erging, nachdem herauskam, dass sie den Iranis ein Google-Zertifikat gegeben haben. Ich will damit nichts schlechtes ÃŒber CAcert sagen, aber auch die kommerziellen können sich Pfusch nicht wirklich leisten. ;)
Jörg Kastning
2015-10-26 19:03:42 UTC
Permalink
Guten Abend.
Post by S. H.
Post by Jörg Kastning
Nun gebe ich die Verwaltung und
den Zugriff auf die Domain example.com an eine Person ab, die ebenfalls
CAcert-Mitglied ist. Ist es in diesem Fall möglich, dass die
ausgestellten Zertifikate und die Domain in den Account des neuen
Domain-Admins Ìbertragen werden können?
Oder mÃŒssen alle Zertifikate widerrufen und die Domain in meinem Account
gelöscht werden, so dass der zukÌnftige Admin sowohl Domain als auch
Zertifikate in seinem Account neu generieren kann?
DAS. Denn die Zertifikate werden fÃŒr dich ausgestellt und auch nur du hast die privaten SchlÃŒssel dazu, welche du nicht weiter geben darfst. Der neue Besitzer muss sich eigene SchlÃŒsselpaare erstellen. Alleine schon deshalb mÃŒssen neue Zertifikate her.
Warum muss das so sein? Warum darf ich, wenn ich die Kontrolle ÃŒber eine
Domain abtrete nicht auch die Zertifikate mit dazugehörigen privaten
SchlÃŒsseln weitergeben?

In den Server-Zertifikaten ist ausschließlich der Domain-Name selbst
enthalten und keine weiteren Informationen wie Name des Antragstellers,
Besitzers, der Organisation oder sonstige. Die Zertifikate enthalten
also keinerlei Information, welche durch einen Besitzerwechsel ungÃŒltig
werden.

Mir ist bewusst, dass das CCA in der aktuellen Form die Weitergabe des
privaten SchlÃŒssels verbietet. Ich stelle jedoch die Frage, ob es nicht
möglich und sinnvoll wÀre, dies bei einer DomainÌbertragung innerhalb
der CAcert-Community zu ermöglichen.

Viele GrÌße
Jörg Kastning
--
E-Mail: ***@my-it-brain.de
Twitter: https://twitter.com/JoergKastning
Internet: http://www.my-it-brain.de
Threema-ID: K2Y6W49N
OpenPGP-ID: 7A302E30
OpenPGP-Fingerabdruck:
2026 DF56 89B6 F79A E776 B15B 55E2 83FB 7A30 2E30
S. H.
2015-10-26 19:18:06 UTC
Permalink
Post by Jörg Kastning
Warum muss das so sein? Warum darf ich, wenn ich die Kontrolle ÃŒber eine
Domain abtrete nicht auch die Zertifikate mit dazugehörigen privaten
SchlÃŒsseln weitergeben?
Einer der GrÌnde könnte sein, dass sich damit möglicherweise frÌhere
Kommunikation entschlÌsseln lÀsst, wenn keine PFS verwendet wurde. Ein
anderer, dass du ja eine Kopie des SchlÌssels behalten könntest, obwohl
es nicht mehr deine Domain ist. Es gibt sicher noch weitere.
Jörg Kastning
2015-10-26 20:24:50 UTC
Permalink
Post by S. H.
Post by Jörg Kastning
Warum muss das so sein? Warum darf ich, wenn ich die Kontrolle ÃŒber eine
Domain abtrete nicht auch die Zertifikate mit dazugehörigen privaten
SchlÃŒsseln weitergeben?
Einer der GrÌnde könnte sein, dass sich damit möglicherweise frÌhere
Kommunikation entschlÌsseln lÀsst, wenn keine PFS verwendet wurde. Ein
anderer, dass du ja eine Kopie des SchlÌssels behalten könntest, obwohl
es nicht mehr deine Domain ist.
Ok. Das ist ein guter Grund, den ich nachvollziehen kann.

Es macht also Sinn, fÃŒr eine Domain die einem selbst neu ÃŒbertragen wird
neue Zertifikate zu generieren. Um eine Serviceunterbrechung zu
vermeiden, wÀre es dennoch wÌnschenswert, wenn man die neuen Zertifikate
bereits generieren kann, bevor die alten widerrufen werden.

Viele GrÌße
Jörg Kastning
--
E-Mail: ***@my-it-brain.de
Twitter: https://twitter.com/JoergKastning
Internet: http://www.my-it-brain.de
Threema-ID: K2Y6W49N
OpenPGP-ID: 7A302E30
OpenPGP-Fingerabdruck:
2026 DF56 89B6 F79A E776 B15B 55E2 83FB 7A30 2E30
Bernhard Eisele - LES
2015-11-12 17:57:50 UTC
Permalink
Liebe Leute,
fast jeder Internetauftritt hat doch hin und wieder eine Offline-Phase
von bis zu mehreren Stunden. Eine solche Zeitspanne kann angekÃŒndigt
werden und wÀhrend dieser Zeit lÀsst sich das alte, nicht mehr gÌltige
Zertifikat gegen das neue umtauschen. Im Übrigen teile ich voll die
Bedenken von Reinhard.

Kind regards

Bernhard
Liebe Leute,
bedenkt bitte einmal die rechtliche Seite einer DomainÃŒbertragung.
Im Warenverkehr sind die sog. Incoterms Standardfloskeln, durch deren
Anwendung rechtlich sicher solche Probleme beschrieben und gelöst werden.
Leider haben wir bei einer Übertragung einer Domain von A nach B keine
Klauseln, die die Haftungsfragen eindeutig klÀren.
Wer als Übernehmer einer Domain sicher sein will, nicht fÃŒr Probleme des
VorgÀngers in die Haftung genommen zu werden, wird aus eigenem Interesse
eine QuarantÀnezeit definieren, z.B. 48 Stunden.
Was man also sieht, ist es keine Frage des Zertifikats oder des
Zertifikatherausgebers. Es ist eine Frage, wer wann wofÃŒr haftet.
CAcert haftet in solchen FÀllen der Einfachheit halber gar nicht und
deswegen sehen die Policies auch keine möglicherweise geeigneten
Prozeduren vor.
kind regards
Reinhard
Es wÌrde auch so wahrscheinlich kaum auffallen schÀtze ich. Bis Server und Browser ihr OSCP aktualisiert haben, kann das neue Zertifikat lÀngst in Verwendung sein. Wir sprechen hier Ìber eine Zeit von 2-3 Minuten schÀtze ich, wenn man es richtigt timet.
In FÀllen, in denen tatsÀchlich die DomÀne verkauft/verschenkt/sonstwie Ìbertragen wird kann man aktuell nur versuchen, in Absprache mit dem CAcert Support die Unterbrechung möglichst kurz zu halten.
--
Diese Mail wurde digital unterschrieben (siehe Kuvert-Symbol).
Wer auf seinem GerÀt das Stammzertifikat von meinem Registrator
installiert, kann die Echtheit und IntegritÀt dieser Mail einsehen.
Das Stammzertifikat gibt es unter:
https://www.cacert.org/certs/CAcert_Root_Certificates.msi
Wer darÃŒber hinaus sich bei http://cacert.org ein Zertifikat ausstellen
lÀsst, kommt in den Genuss, seine Mails an alle signieren und an viele
(u.a. auch an mich) verschlÌsseln zu können, und zwar so, dass nach
Snowden auch die liebe Truppe NSA den Inhalt nicht entschlÃŒsseln kann.
WÀre dies nichts fÌr Dich/Sie?
Hilfe biete ich bei der EinfÃŒhrung an.

Übrigends, ich mag kein ToFu
<http://www.textkritik.de/schriftundcharakter/sundc008tofu.htm>
S. H.
2015-11-12 18:22:01 UTC
Permalink
Im Übrigen teile ich voll die Bedenken von Reinhard.
Im Prinzip denke ich geht es dabei vor allem auch darum, was CAcert
bescheinigt. Im Falle von Klasse 3 Zertifikaten ist das die IdentitÀt
des Account-Inhabers. In diesem Fall erÃŒbrigt sich darÃŒber jede
Diskussion. Lediglich fÌr Klass 1 Zertifikate, könnte ich mir eine
Übertragung vorstellen, da sie ja im Grunde nur die Domain selbst
bestÀtigen. Also nicht mehr wie auch "Let's encrypt".

Da stellt sich also die Frage, was will man eigentlich. Wie schon
geschrieben wurde, haftet CAcert selbst ja fÃŒr gar nichts. Will man also
Domaininhabern möglichst einfach verschlÌsselte Verbindungen
ermöglichen, dann muss man die Messlatte imho nicht ganz so hoch hÀngen,
da persönliche Daten keine Rolle spielen. Oder möchte man die IdentitÀt
einer Person bestÀtigen? In dem Fall ist klar, dass nur diese Person
auch berechtigt ist, das Zertifikat zu besitzen.

Lesen Sie weiter auf narkive:
Loading...