Discussion:
Probleme mit dem Root Zertifikat unter MacOS 10.12
hawe
2016-10-01 15:42:36 UTC
Permalink
Hallo zusammen,
unter MacOS 10.12 habe ich Probleme das CAcert Root Zertifikat der CA Cert
Signing Authority zu best=C3=A4tigen. Unter 10.11 hatte das CAcert Root Ze=
rtifikat
konnte ich noch ein eigenes Vertrauen aussprechen und wurde als "G=C3=BClti=
g"
angezeigt. Unter 10.12 wird es als "von einer unbekannten Stelle signiert" =
und
als ung=C3=BCltig angezeigt.

Ich kann ich kein eigenes Vertrauen aussprechen "Information->Vertrauen->X.=
509
Standardrichtlinien->immer Vertrauen" funktioniert nicht. es wird kein blau=
es
Kreuz angezeigt. Andere Vertrauenseinstellungen funktionieren eben so wenig.

Dem Class 3 Root Zertifikat kann ich vertrauen, es werden aber die
Userzertifikate nicht immer erkannt.

Kennt jemand das Verhalten und wei=C3=9F Abhilfe?

Gru=C3=9F
hawe
S. H.
2016-10-01 17:22:46 UTC
Permalink
Post by hawe
Hallo zusammen,
unter MacOS 10.12 habe ich Probleme das CAcert Root Zertifikat der CA Cert
Signing Authority zu bestÀtigen. Unter 10.11 hatte das CAcert Root Zertifikat
konnte ich noch ein eigenes Vertrauen aussprechen und wurde als "GÃŒltig"
angezeigt. Unter 10.12 wird es als "von einer unbekannten Stelle signiert" und
als ungÃŒltig angezeigt.
Ich kann ich kein eigenes Vertrauen aussprechen "Information->Vertrauen->X.509
Standardrichtlinien->immer Vertrauen" funktioniert nicht. es wird kein blaues
Kreuz angezeigt. Andere Vertrauenseinstellungen funktionieren eben so wenig.
Dein Problem ist darauf zurÃŒck zu fÃŒhren, dass die bei CAcert.org
angebotenen Root-Zertifikate immernoch mit MD5 signiert sind, und macOS,
ebenso wie viele andere Browser, diesem inzwischen als unsicher
geltenden Algorithmus grundsÀtzlich nicht mehr vertrauen.

Um diesem Problem zu begegnen, hat CAcert bereits vor einiger Zeit
ÃŒberarbeitete Zertifikate erzeugt (stichwort "root resign"), welche mit
SHA256 signiert sind, aber den gleichen SchlÃŒssel signieren, wodurch sie
auch als Anker fÌr bestehende Zertifikate genutzt werden können. Leider
haben es die Verantwortlichen, aus welchen GrÃŒnden auch immer, bis heute
nicht fertig gebracht, diese Dateien auf der Hauptseite hochzuladen.

Kurzum: Entferne die alten Roots aus deinem System und lade dir die
neuen von http://files.bachsau.com/CAcert/ herunter. Damit sollte dein
Problem gelöst sein.

_PS an den Rest der Liste:_
An wen muss man sich eigentlich wenden, um hier mal Druck zu machen? Es
scheint doch wirklich so zu sein, dass sich die FÃŒhrung von CAcert
(sofern soetwas ÃŒberhaupt noch existiert) sich einen Scheißdreck darum
kÃŒmmert auch nur du einfachsten Anpassungen vorzunehmen. Wenn sich da
nicht bald was Àndert, schreib' ich meinen Mirror im Wiki auf die
Startseite! Das ist doch Mist.
Gero Treuner
2016-10-01 17:46:24 UTC
Permalink
Dein Problem ist darauf zurück zu führen, dass die bei CAcert.org
angebotenen Root-Zertifikate immernoch mit MD5 signiert sind, und
macOS, ebenso wie viele andere Browser, diesem inzwischen als
unsicher geltenden Algorithmus grundsätzlich nicht mehr vertrauen.
Das war zu vermuten...
Kurzum: Entferne die alten Roots aus deinem System und lade dir die
neuen von http://files.bachsau.com/CAcert/ herunter. Damit sollte
dein Problem gelöst sein.
Man kann es auch direkt von hier holen:
http://svn.cacert.org/CAcert/SystemAdministration/signer/re-sign-2016/outputs/
_PS an den Rest der Liste:_
An wen muss man sich eigentlich wenden, um hier mal Druck zu machen?
Es scheint doch wirklich so zu sein, dass sich die Führung von
CAcert (sofern soetwas überhaupt noch existiert) sich einen
Scheißdreck darum kümmert auch nur du einfachsten Anpassungen
vorzunehmen. Wenn sich da nicht bald was ändert, schreib' ich meinen
Mirror im Wiki auf die Startseite! Das ist doch Mist.
Deine Einschätzung teile ich nicht so direkt. Ich gehöre als
Board-Mitglied wohl zur "Führung", kann aber nicht einfach per Order
de Mufti die Zertifikate auf der Homepage auswechseln. Fällig ist das,
völlig klar.

Diese Aktion muss zwischen verschiedenen Teams koordiniert werden.
Ich werde versuchen, Bewegung in die Sache zu bringen.


Schöne Grüße
Gero
S. H.
2016-10-01 18:52:10 UTC
Permalink
Post by Gero Treuner
http://svn.cacert.org/CAcert/SystemAdministration/signer/re-sign-2016/outputs/
Da hab' ich sie auch her. Bloß kann sich das fÃŒr den "tÀglichen Bedarf"
keiner merken.
Post by Gero Treuner
Deine EinschÀtzung teile ich nicht so direkt. Ich gehöre als
Board-Mitglied wohl zur "FÃŒhrung", kann aber nicht einfach per Order
de Mufti die Zertifikate auf der Homepage auswechseln. FÀllig ist das,
völlig klar.
Diese Aktion muss zwischen verschiedenen Teams koordiniert werden.
Ich werde versuchen, Bewegung in die Sache zu bringen.
Du meinst sie muss abgesegnet werden... Denn zu "koordinieren" gibt es
da nicht mehr viel. Klar, versteh' ich.
Nur sollten die, die damit befasst sind sich dann auch darum kÃŒmmern und
nicht alles ewig verzögern, oder eben ihrem Posten abgeben. Auf mich
wirkt das nur noch als ob da irgendwo ein riesiger Wasserkopf ist der
aber nicht mehr wirklich engagiert an CAcert arbeitet und ich befÃŒrchte
wenn das ganze Projekt nicht bald transparenter wird, einem klar
erkennbaren roten Faden folgt, der Leute auch dazu animiert sich
einzubringen, und vor allem auch wieder Bewegung rein kommt, es bald
kein CAcert mehr geben wird. Was ich wirklich schade fÀnde, denn ich
glaube, wir brauchen eine Community-Getragene CA, die sicher ist und dem
dennoch dem kommerziellen Sektor etwas entgegen setzen kann. Da wird es
leider auch nicht helfen, wenn wieder ein paar mehr Leute im Wiki
editieren oder im Support Triage arbeiten. Es muss eine FÃŒhrung und
Kommunikation mit dieser geben, in einem öffentlichen Rahmen,
transparent fÃŒr jedes CAcert-Mitglied. Wenn selbst die Leute, die ich
auf FrOSConn getroffen habe, die dort Maßgeblich fÃŒr die PrÀsentation
von CAcert verantwortlich sind, nicht genau wissen, wer eigentlich das
Zepter in der Hand hÀlt, wer soll es dann wissen?
hawe
2016-10-06 18:29:35 UTC
Permalink
Danke f=C3=BCr Deine Antwort. Das hat geholfen. Einzig das Class3 Zertifika=
t von
deinem Link wird als zur=C3=BCck gezogen gekennzeichnet. Daf=C3=BCr ist abe=
r das Class3
Zertifikat von der CAcert.org Webseite ein sha256 und funktioniert

Gru=C3=9F
hawe
S. H.
2016-10-06 18:43:04 UTC
Permalink
Danke fÃŒr Deine Antwort. Das hat geholfen. Einzig das Class3 Zertifikat von
deinem Link wird als zurÃŒck gezogen gekennzeichnet. DafÃŒr ist aber das Class3
Zertifikat von der CAcert.org Webseite ein sha256 und funktioniert
Ernsthaft? Das muss ich mal prÃŒfen. Wer das wieder verbrochen hat. Dass
es jetzt zumindest Class 3 auf der offiziellen Seite gibt, ist ja gut.
Ein Class 3 zurÃŒckzuziehen ohne dass kompromitiert ist finde ich aber
ein no-go. :(

Loading...