Re: AW: Eigene CA

[Joerg Zimmermann <joerg.zimmermann@arachno.de>]

hi Miro,

Miro Dietiker, MD Systems wrote:
> Hi Jörg!
> 
>>>>>Anm.:   Selbstsignierte Certs gehen nicht, da diese auf einem
>>>>>       geonwnten Server ja gefälscht werden können.
>>>>>
>>>>
>>>>Dies versteh ich in diesem Zusammenhang allerdings nicht.
>>>
>>>Selbstsignierte Certifikate können nicht überprüft werden...
>>>Bei einem von einer CA signiertem Cert reicht ein klick zum testen.
>>
>>Und wer signiert CA cert's? ...
>>Es gibt keinen technischen Unterschied zwischen einer Root CA und
>>einer eigenen CA (die in dem jeweiligen Kontext ebenso eine Root CA
>>darstellt).
>>Auch Root CA's sind selbstsigniert, bestenfalls signieren sich die
>>Root CA's gegenseitig. Das ist das Wesen einer Root CA, sie steht
>>halt an der Wurzel.
> 
> 
> Für Deinen Fall würde ich einfach allen Roots nicht trauen,
> eine eigene Root-CA (ja, mit self-signed-CA) aufsetzen, alle
> clients trauen dann explizit nur dieser Root-CA, und sämtliche
> Zertifikate für Rechner werden durch diese Root-CA signiert.
> 
> Alle clients kennen also nur deine Root und die Server sind
> absolut trusted... (sofern du den Private-Key deiner Root-CA
> usw gut aufbewahrst, wie bereits früher vorgeschlagen ;;-) )
> 
> So ist doch kein Zertifikat fälschbar, oder was stellst du dir da noch
> für Hacks vor?

Ich glaube Du verwechselst mich. Ich habe keinen Zweifel an der
Sicherheit einer eigenen CA.
Eher im Gegenteil ;)

> Und ähm ... schöne Festtage!

Ja Danke, und ruhige bitte.

-Joerg