Discussion:
CAcert Root Zertifikate für Apple iOS Geräte
Christian Felsing
2014-09-06 12:02:58 UTC
Permalink
Hallo zusammen,

wÀre ein Apple iOS Profil mit CAcert root bzw. Class3 Zertifikat von Interesse?
FÌr Windows gibt es schon einen Installer, das Profil hat fÌr Apple Mobile Devices eine Àhnliche Funktion.

Viele GrÌße
Christian
Andreas Krueger
2014-09-06 12:05:00 UTC
Permalink
Hallo Christian,

definitiv, dass derzeitige Vorgehen, um die Rootzertifikate als Trusted auf ein Device zu bekommen ist grausam.

Mit freundlichen Grüssen,

Andreas Krüger
Post by Christian Felsing
Hallo zusammen,
wäre ein Apple iOS Profil mit CAcert root bzw. Class3 Zertifikat von Interesse?
Für Windows gibt es schon einen Installer, das Profil hat für Apple Mobile Devices eine ähnliche Funktion.
Viele Grüße
Christian
Christian Felsing
2014-09-08 12:04:41 UTC
Permalink
Hallo zusammen,
Post by Andreas Krueger
definitiv, dass derzeitige Vorgehen, um die Rootzertifikate als Trusted auf ein Device zu bekommen ist grausam.
unter https://cccmz.c3event.31c3.cc/cacert.mobileconfig liegt ein Prototyp. Das MD5 Problem ist jedoch reproduzierbar und hÀngt
offenbar nicht von der Signatur des iOS Profils ab.

Viele GrÌße
Christian
Christian Felsing
2014-09-11 13:32:30 UTC
Permalink
Hallo zusammen,

das Profil, das ich neulich hier gepostet habe, kann von meiner Seite gerne
auch auf der CAcert Seite veröffentlicht werden.

Viele GrÌße
Christian
Post by Andreas Krueger
definitiv, dass derzeitige Vorgehen, um die Rootzertifikate als Trusted auf ein Device zu bekommen ist grausam.
Gerrit Giehl
2014-09-06 12:07:58 UTC
Permalink
Hallo Christian,
Post by Christian Felsing
Hallo zusammen,
wÀre ein Apple iOS Profil mit CAcert root bzw. Class3 Zertifikat von Interesse?
FÌr Windows gibt es schon einen Installer, das Profil hat fÌr Apple Mobile Devices eine Àhnliche Funktion.
Generell finde ich die Idee gut, leider ist es seit einigen
iOS-Versionen so, dass selbst, wenn ein iOS-Profil erstellt wird, CAcert
nicht als 'trusted' gesetzt werden kann. Dies hÀngt damit zusammen, dass
das Root-Zertifikat noch md5 nutzt und Apple es fÃŒr die Benutzer wieder
besser weiß ;)
Post by Christian Felsing
Viele GrÌße
Christian
Viele GrÌße

Gerrit
Gero Treuner
2014-09-06 12:23:33 UTC
Permalink
Hallo zusammen!
Post by Gerrit Giehl
Post by Christian Felsing
wäre ein Apple iOS Profil mit CAcert root bzw. Class3 Zertifikat von Interesse?
Für Windows gibt es schon einen Installer, das Profil hat für Apple Mobile Devices eine ähnliche Funktion.
Sicher doch.
Post by Gerrit Giehl
Generell finde ich die Idee gut, leider ist es seit einigen
iOS-Versionen so, dass selbst, wenn ein iOS-Profil erstellt wird, CAcert
nicht als 'trusted' gesetzt werden kann. Dies hängt damit zusammen, dass
das Root-Zertifikat noch md5 nutzt und Apple es für die Benutzer wieder
besser weiß ;)
Die Auswirkung kann ich bestätigen, wobei mein Gerät den Grund nicht
nennt, aber das Erwähnte im Hauptverdacht steht.


Ein eigenes Profile habe ich erstellt, das jedoch eine kabelgebundene
Autorisierung seitens des iPad erfordert.

Wie sieht eine geräteunabhängige Lösung aus? Müsste CAcert App-Store-
Anbieter sein?


Schöne Grüße
Gero
Christian Felsing
2014-09-06 12:32:27 UTC
Permalink
Bisher habe ich Versuche mit einem Profil gemacht, dass ich mit meinem "offiziellen" Code Signing Zertifikat signiert habe, das iOS
hat die Zertifikate (von meiner privaten CA) dann klaglos angenommen.

Viele Grüße
Christian
Post by Gero Treuner
Sicher doch.
Post by Gerrit Giehl
Generell finde ich die Idee gut, leider ist es seit einigen
iOS-Versionen so, dass selbst, wenn ein iOS-Profil erstellt wird, CAcert
nicht als 'trusted' gesetzt werden kann. Dies hängt damit zusammen, dass
das Root-Zertifikat noch md5 nutzt und Apple es für die Benutzer wieder
besser weiß ;)
Die Auswirkung kann ich bestätigen, wobei mein Gerät den Grund nicht
nennt, aber das Erwähnte im Hauptverdacht steht.
Ein eigenes Profile habe ich erstellt, das jedoch eine kabelgebundene
Autorisierung seitens des iPad erfordert.
Wie sieht eine geräteunabhängige Lösung aus? Müsste CAcert App-Store-
Anbieter sein?
Schöne Grüße
Gero
Bisher habe ich Versuche mit einem Profil gemacht, dass ich mit meinem "offiziellen" Code Signing Zertifikat signiert habe, das iOS
hat die Zertifikate (von meiner privaten CA) dann klaglos angenommen.

IMHO muss das nicht über den App Store verteilt werden, das ist nämlich keine App, sondern ein Profile. Dieses muss lediglich zum
Download angeboten werden. Auf der CAcert Seite müsste User das dann per http aufrufen, das Profil wird dann automatisch installiert.

Viele Grüße
Christian
Michael Nausch
2014-09-15 17:40:19 UTC
Permalink
Habedieehre,
Post by Christian Felsing
Bisher habe ich Versuche mit einem Profil gemacht, dass ich mit
meinem "offiziellen" Code Signing Zertifikat signiert habe, das iOS
hat die Zertifikate (von meiner privaten CA) dann klaglos angenommen.
Genau so geht das auch, IMHO wÃŒrde es reichen, ein signiertes Profil
zu erstellen und zum Download anzubieten. Wir brauchen hald "nur" ein
passendes Root-Zertifikat mit einer als valide angesehenem
Signatur-Algo. (siehe thread "[s20130421.30] CAcert-Zertifikate fÃŒr
iPhone/iPad nutzen?" vom Mai letzten Jahres hier in der Mailingliste.)

Den workaround mit einem benutzerindividuellem signierten mobileconfig
Datei fÌr die KÀufer von Ìberteuerter Hardware - aka Apple - biete ich
z.B. fÃŒr meine Mailboxnutzer an. =>
https://dokuwiki.nausch.org/doku.php/centos:mail_c6:autoconfig_3#bsp_komfortablere_konfigurations-webseite_mit_signierte_profildatei

Hatte seinerzeit auch Hilfe fÃŒr CAcert bei Thema neues Root-Zertifikat
angeboten, aber in Anspruch wurde die leider nie genommen ... :/


ttyl
Django
Christian Felsing
2014-09-22 01:46:39 UTC
Permalink
Hallo Michael,

das Problem mit CAcert Root Zertifikat wird immer größer, so werden offenbar
Root Zertifikate mit MD5 Signatur von einigen Anwendungen grundsätzlich als
nicht vertrauenswürdig angesehen. Eine Installation bringt nichts, oder ist
nicht mehr möglich.

Bei einer Java Anwendung für Mail ist mir das z.B. aufgefallen. Ein
selbstgebautes Root CA Zertifikate mit einer SHA256 Signatur war dagegen
problemlos installierbar.

IMHO sollte da CAcert wirklich bald etwas tun.

Mal schnell ein neues Root CA Zertifikat zu erstellen, wird bei CAcert
allerdings nicht gehen. Es gibt da Prozesse, die einzuhalten sind, auf diese
Dinge wird beim Audit großen Wert gelegt.

Viele Grüße
Christian
Hatte seinerzeit auch Hilfe für CAcert bei Thema neues Root-Zertifikat
angeboten, aber in Anspruch wurde die leider nie genommen ... :/
Eva Stöwe
2014-09-22 06:01:27 UTC
Permalink
Hallo,

kurzes Update: Das Problem wird ernst genommen. Es war auch Thema im
gestrigen Board-Meeting. Allerdings stimmt es, dass wir nicht einfach so
irgendetwas erstellen können sonder tatsächlich auf die entsprechenden
Prozesse achten müssen.

Da wir gerade sowieso dabei waren, diese Prozesse neu zu bauen ist zu
diesem Zeitpunkt aber die besondere Schwierigkeit, dass wir auch noch
darauf achten müssen, was die alten Vorgaben verlangen, aber
gleichzeitig möglichst nah an dem zu sein, was wir für die neuen
Prozesse vorsehen.

Der Austausch von Root-Zertifikaten ist leider nichts, was man als CA
mal schnell nebenbei macht.


Wobei dazu zu sagen ist, dass die MD5-Selbstsignaturen keine
sicherheitsrelevanz darstellen und auch viele andere alte und etablierte
Roots anderer CAs von dem Problem betroffen isnd.

Genau genommen ist der Schritt, der da von einigen Tools gemacht wird
sogar recht bedenklich, da aus Usersicht an sich ein Interesse da ist,
möglichst mit bekannte Roots zu arbeiten, die sich etabliert haben und
die man relativ sicher zuordnen kann. (Vorausgesetzt sie sind nicht
kompromittiert.)

Daher hoffe ich aus User-Sicht, dass derartige Schritte für die
Selbstsignaturen noch einmal überdacht werden. Es ist schon traurig,
dass viele Dinge unsinnigerweise weiter verfolgt werden, derartige
Nicht-Probleme aber "gefixt" werden...

Viele Grüße,
Eva
Post by Christian Felsing
Hallo Michael,
das Problem mit CAcert Root Zertifikat wird immer größer, so werden offenbar
Root Zertifikate mit MD5 Signatur von einigen Anwendungen grundsätzlich als
nicht vertrauenswürdig angesehen. Eine Installation bringt nichts, oder ist
nicht mehr möglich.
Bei einer Java Anwendung für Mail ist mir das z.B. aufgefallen. Ein
selbstgebautes Root CA Zertifikate mit einer SHA256 Signatur war dagegen
problemlos installierbar.
IMHO sollte da CAcert wirklich bald etwas tun.
Mal schnell ein neues Root CA Zertifikat zu erstellen, wird bei CAcert
allerdings nicht gehen. Es gibt da Prozesse, die einzuhalten sind, auf diese
Dinge wird beim Audit großen Wert gelegt.
Viele Grüße
Christian
Hatte seinerzeit auch Hilfe für CAcert bei Thema neues Root-Zertifikat
angeboten, aber in Anspruch wurde die leider nie genommen ... :/
--
mit freundlichen Grüßen / best regards
Eva Stöwe
CAcert Assurer
CAcert PolicyOfficer
CAcert Arbitrator & Case Manager
CAcert.org - Free Certificates
E-Mail: estoewe-xHchwMmBYmcdnm+***@public.gmane.org
Michael Nausch
2014-09-23 06:57:05 UTC
Permalink
Griasde Eva,
Post by Eva Stöwe
Wobei dazu zu sagen ist, dass die MD5-Selbstsignaturen keine
sicherheitsrelevanz darstellen
Da stimme ich Dir zu, nur nutzt das leider dem "Endkunden nichts", da
dieser z.B. bei dem Apple-Dingen nicht selbst entscheiden darf, was er
auf seinem teuren Gerät als vertrauenswürdig einstuft und was nicht.

Da aktuell sowieso Zertifikate gezielt importiert werden müssen,
neigen ich schon eher dazu eine CA für meine Organisation aufzubauen
als auf CAcert zu warten, immerhin ist das Problem ja nicht erst seit
"gestern" bekannt, sondern schon viele Monate. Vorerst bin ich auf
entsprechend kommerzielle CAs ausgewichen, da ich eigentlich auf eine
Änderung hier bei CAcert hoffe ...


Servus
Django

Andreas Neumann
2014-09-06 13:43:20 UTC
Permalink
Da das md5-Dilemma nun auch im Firefox Probleme macht (siehe fefe
[https://blog.fefe.de/?ts=aaf4c729]) wollte ich fragen, ob es konkrete
PlÀne gibt, das Problem zu lösen? Ich vermute mal, die Lösung besteht
nur darin eine neue CA zu erzeugen, die _nicht_ vom Root-Zertifikat
unterschrieben ist...

Andreas
Post by Andreas Krueger
Hallo Christian,
Post by Christian Felsing
Hallo zusammen,
wÀre ein Apple iOS Profil mit CAcert root bzw. Class3 Zertifikat von Interesse?
FÌr Windows gibt es schon einen Installer, das Profil hat fÌr Apple Mobile Devices eine Àhnliche Funktion.
Generell finde ich die Idee gut, leider ist es seit einigen
iOS-Versionen so, dass selbst, wenn ein iOS-Profil erstellt wird, CAcert
nicht als 'trusted' gesetzt werden kann. Dies hÀngt damit zusammen, dass
das Root-Zertifikat noch md5 nutzt und Apple es fÃŒr die Benutzer wieder
besser weiß ;)
Post by Christian Felsing
Viele GrÌße
Christian
Viele GrÌße
Gerrit
--
Andreas Neumann
Manggasse 8
98693 Ilmenau

andreas.neumann-***@public.gmane.org
http://stadtplan-ilmenau.de

Tel: +49 (0) 3677 80 25 205
Fax: +49 (0) 3677 80 25 206
Mobil: +49 (0) 151 233 72 465
Gerrit Giehl
2014-09-06 14:03:32 UTC
Permalink
Hallo Andreas,
Post by Andreas Neumann
Da das md5-Dilemma nun auch im Firefox Probleme macht (siehe fefe
[https://blog.fefe.de/?ts=aaf4c729]) wollte ich fragen, ob es konkrete
PlÀne gibt, das Problem zu lösen? Ich vermute mal, die Lösung besteht
nur darin eine neue CA zu erzeugen, die _nicht_ vom Root-Zertifikat
unterschrieben ist...
z.Zt. wird an einer neuen "Version" von CAcert gearbeitet, die AFAIK
auch den Austausch des Root-CA beeinhaltet. Leider fehlt es AFAIK wohl
an Helfern, sodass der UrsprÃŒngliche Zeitplan nicht einzuhalten ist.
Einen paar weitere Informationen finden sich hier:

http://wiki.cacert.org/Roots/EscrowAndRecovery/NRE
Post by Andreas Neumann
Andreas
Viele GrÌße

Gerrit
Benedikt Heintel
2014-09-08 19:18:24 UTC
Permalink
Post by Gerrit Giehl
z.Zt. wird an einer neuen "Version" von CAcert gearbeitet, die AFAIK
auch den Austausch des Root-CA beeinhaltet. Leider fehlt es AFAIK wohl
an Helfern, sodass der UrsprÃŒngliche Zeitplan nicht einzuhalten ist.
http://wiki.cacert.org/Roots/EscrowAndRecovery/NRE
Schrecklich wahr.

Wenn jemand von euch Lust hat uns zu helfen, wir benötigen aktuell
UnterstÃŒtzung beim dokumentieren der Prozesse!

Gruß
Benedikt
Andreas Krueger
2014-09-08 19:21:44 UTC
Permalink
Hallo Benedikt,

Lust hätte ich auf jeden Fall, nur an Zeit hapert es mir durch viel berufliches Reisen immer.
Aber wenn es sich um überschaubare Zuarbeiten handelt, ist da sicher vieles möglich.

Wir können uns gerne mal direkt austauschen ...

Mit freundlichen Grüssen,

Andreas Krüger
Post by Benedikt Heintel
Post by Gerrit Giehl
z.Zt. wird an einer neuen "Version" von CAcert gearbeitet, die AFAIK
auch den Austausch des Root-CA beeinhaltet. Leider fehlt es AFAIK wohl
an Helfern, sodass der Ursprüngliche Zeitplan nicht einzuhalten ist.
http://wiki.cacert.org/Roots/EscrowAndRecovery/NRE
Schrecklich wahr.
Wenn jemand von euch Lust hat uns zu helfen, wir benötigen aktuell
Unterstützung beim dokumentieren der Prozesse!
Gruß
Benedikt
Christian Felsing
2014-09-09 03:17:53 UTC
Permalink
Hallo Benedikt,
Post by Benedikt Heintel
Wenn jemand von euch Lust hat uns zu helfen, wir benötigen aktuell
UnterstÃŒtzung beim dokumentieren der Prozesse!
* gibt es Vorgaben, wie die Prozesse zu dokumentieren sind?
* Welche Prozesse sind das?
* Welchem Umfang kann diese UnterstÃŒtzung erreichen?

Das Eine oder Andere könnte ich sicherlich machen, sofern das
ÃŒberschaubar bleibt.

Viele GrÌße
Christian
Benedikt Heintel
2014-09-09 20:36:12 UTC
Permalink
Hallo Andreas & Christian,

vielen Dank fÃŒr euere Bereitschaft zur Mithilfe.
Ich habe gestern mit dem Projektleiter von NRE gesprochen und er wird
auf euch zu kommen.

Gruß
Benedikt
Post by Benedikt Heintel
Post by Gerrit Giehl
z.Zt. wird an einer neuen "Version" von CAcert gearbeitet, die AFAIK
auch den Austausch des Root-CA beeinhaltet. Leider fehlt es AFAIK wohl
an Helfern, sodass der UrsprÃŒngliche Zeitplan nicht einzuhalten ist.
http://wiki.cacert.org/Roots/EscrowAndRecovery/NRE
Schrecklich wahr.
Wenn jemand von euch Lust hat uns zu helfen, wir benötigen aktuell
UnterstÃŒtzung beim dokumentieren der Prozesse!
Gruß
Benedikt
Loading...