Hallo,
kurzes Update: Das Problem wird ernst genommen. Es war auch Thema im
gestrigen Board-Meeting. Allerdings stimmt es, dass wir nicht einfach so
irgendetwas erstellen können sonder tatsächlich auf die entsprechenden
Prozesse achten müssen.
Da wir gerade sowieso dabei waren, diese Prozesse neu zu bauen ist zu
diesem Zeitpunkt aber die besondere Schwierigkeit, dass wir auch noch
darauf achten müssen, was die alten Vorgaben verlangen, aber
gleichzeitig möglichst nah an dem zu sein, was wir für die neuen
Prozesse vorsehen.
Der Austausch von Root-Zertifikaten ist leider nichts, was man als CA
mal schnell nebenbei macht.
Wobei dazu zu sagen ist, dass die MD5-Selbstsignaturen keine
sicherheitsrelevanz darstellen und auch viele andere alte und etablierte
Roots anderer CAs von dem Problem betroffen isnd.
Genau genommen ist der Schritt, der da von einigen Tools gemacht wird
sogar recht bedenklich, da aus Usersicht an sich ein Interesse da ist,
möglichst mit bekannte Roots zu arbeiten, die sich etabliert haben und
die man relativ sicher zuordnen kann. (Vorausgesetzt sie sind nicht
kompromittiert.)
Daher hoffe ich aus User-Sicht, dass derartige Schritte für die
Selbstsignaturen noch einmal überdacht werden. Es ist schon traurig,
dass viele Dinge unsinnigerweise weiter verfolgt werden, derartige
Nicht-Probleme aber "gefixt" werden...
Viele Grüße,
Eva
Post by Christian FelsingHallo Michael,
das Problem mit CAcert Root Zertifikat wird immer größer, so werden offenbar
Root Zertifikate mit MD5 Signatur von einigen Anwendungen grundsätzlich als
nicht vertrauenswürdig angesehen. Eine Installation bringt nichts, oder ist
nicht mehr möglich.
Bei einer Java Anwendung für Mail ist mir das z.B. aufgefallen. Ein
selbstgebautes Root CA Zertifikate mit einer SHA256 Signatur war dagegen
problemlos installierbar.
IMHO sollte da CAcert wirklich bald etwas tun.
Mal schnell ein neues Root CA Zertifikat zu erstellen, wird bei CAcert
allerdings nicht gehen. Es gibt da Prozesse, die einzuhalten sind, auf diese
Dinge wird beim Audit großen Wert gelegt.
Viele Grüße
Christian
Hatte seinerzeit auch Hilfe für CAcert bei Thema neues Root-Zertifikat
angeboten, aber in Anspruch wurde die leider nie genommen ... :/
--
mit freundlichen Grüßen / best regards
Eva Stöwe
CAcert Assurer
CAcert PolicyOfficer
CAcert Arbitrator & Case Manager
CAcert.org - Free Certificates
E-Mail: estoewe-xHchwMmBYmcdnm+***@public.gmane.org