• trollercoaster
    link
    fedilink
    Deutsch
    arrow-up
    1
    ·
    8 months ago

    welche fragwürdigen CAs meinst du denn, denen vertraut wird?

    Alle staatlichen zum Beispiel.

    • aaaaaaaaargh@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      2
      ·
      edit-2
      8 months ago

      Welche sind das? Will dich nicht mit der Frage hinters Licht führen, aber ich brauche mal nen Anhaltspunkt, damit ich mir das gleich mal ansehen kann anstatt zu arbeiten.

      update: also bund.de nutzt z.B. D-Trust, was der Bundesdruckerei gehört. Das halte ich schon für vertrauenswürdig. Ich dachte jetzt eigentlich eher, dass du zwielichtige Privatunternehmen meinst.

      • trollercoaster
        link
        fedilink
        Deutsch
        arrow-up
        2
        ·
        edit-2
        8 months ago

        Hab da gerade mal in nen Firefox reingeschaut, bin aber nicht mehr zu 100% sicher, ob ich den nicht schon mal ausgemistet hatte, denn da waren nur noch wenige eindeutig staatlichen Zertifizierer drin:

        • TunTrust Root CA ausgestellt von der Agence Nationale de Certification Electronique in Tunesien
        • Staat der Nederlanden Root CA - G3 ausgestellt vom Niederländischen Staat

        Leider haben auch die kommerziellen Zertifizierer gerne Namen, die irgendwie “offiziell” klingen, ist also teilweise schwierig zu unterscheiden.

        Außerdem gibt es ja auch noch staatsnahe gewerbliche Dienstleister, z.B. T-Systems in Deutschland. Bei denen würde es mich sehr wundern, wenn sie nicht auf Zuruf Fake-Zertifikate für diverse Dienste und Polizeien austellen würden.

        Update:

        Das halte ich schon für vertrauenswürdig

        Staatliche Zertifizierer sind insofern vertrauenswürdig, dass sie Zertifikate für staatliche Stellen ausstellen. Ob das jetzt für irgendein normales staatliches Angebot ist, oder für irgendeinen Geheimdienst oder sonstige Ermittlungsbehörden,ist aber eine ganz andere Frage.