[WLANtalk] CA(cert) und Freifunk-Netze

[Mathias Mahnke]

Hi Jan,

Am 12.04.14 13:46, schrieb Jan Lühr:

> Eine Idee ist, CAcert-Zertifikate zu verwenden und die Nutzer zur
> Installation des CAcert-Rootzertifikats aufzufordern.

Eine schoene Idee.

> Hierbei sehe ich zwei Probleme:
> -> Wir empfehlen den Benutzern etwas, was die CA selber nicht möchte.
> Sie zog ihren Antrag in die Aufnahme von Firefox wg. eines fehlenden
> Audits zurück.

Ich glaube hier hast du etwas aus dem Zusammenhang gerissen. Es gibt
sehr wohl - und auch ganz frische - Audit Aktivitaeten. Das sollte aber
fuer die interne Nutzung, z.B. bei Freifunk, eher unerheblich sein.

> -> Wir haben z.T Assurer in unserer Freifunk-Community. Damit haben
> einige Mitglieder sehr viel Macht
> Sie könnten einfach mitm-Attacken starten.

Auch hier scheint mir ein Missverstaendniss vorzuliegen. MITM haengt
davon ab, wer den Key (auf dem VPN Server z.B.) besitzt oder Zugang hat.
Die Keyverwaltung der entsprechenden selbst betriebenen Services ist
nicht Teil einer CA Infrastruktur. Die CA erstellt dir nur dein
Zertifikatsteil - auf Basis eines CSR, der wiederum an deinen Key
gekoppelt ist. Den Key behaelst du schoen bei dir uns gibts ihn
niemanden - auch nicht deiner CA oder einen Assurer.

Der vermeidliche "Stoerfaktor" aus meiner Sicht ist der/die Freifunk
Admin der zentralen Infrastruktur.

> * Sie haben Zugang zu Freifunk-VPN-Endpunkten und -Nodes und können das
> Routing beeinflussen

Das Routing - noch mal was anderes. Vllt. ein Missverstaendnis? Willst
du das Routing ueber Zertifikate selbst absichern? Ggf. auch eine
spannende Idee, aber weniger eine Entscheidung welcher CA Infrastruktur
dahinter steht.

> * Sie haben Zugang zu Cacert und können damit Zertifkate ausstellen.

Okay, das ist nachvollziehbar, wenn es um die Serverzertifikate geht.

> Das Problem ließe sich relativ elegant lösen, indem wir eine andere CA
> verwenden.

IMHO: Die Entscheidung welche CA - jeder muss du irgendwie "vertrauen"
(mehr oder minder blind) und administriert werden (shared access?). Ob
es nun die eigenen oder eine von CAcert ist, ist vermutlich eher eine
andere Frage.

> Aber welche? StartSSL schließe ich pers. kategorisch aus, da ihr Umgang
> mit heartbleed (Zertifikate nicht zu revoke'n, wenn der Besitzer nicht
> zahlt) zu Misstrauen führt. (Ich pers. hab' deren Zertifikaten das
> Vertrauen entzogen).

Ich denke du hast den entscheidenen Punkt hier getroffen. Defacto gibt
es keine gute zentrale CA Loesung. Alle haben irgendwie einen Hasenfuss
- entweder geht es um Geld, oder um Macht, oder ist nicht in Browsern
vorhanden, oder das Vertrauen ist fuer den Nutzer nur schwer
nachzuvollziehen. Da scheint mir persoenlich ein offenes
Communityprojekt wie CAcert schon noch mal elegantesten.

Selber machen geht auch sehr gut, so machen wir es bei uns in Rostock:

http://wiki.opennet-initiative.de/wiki/Opennet_CA
http://wiki.opennet-initiative.de/wiki/Server_Installation/Opennet_CA

Das ist vermutlich mehr als man fuer deinen Fall braucht, aber als Anregung.

Also denn, wuensche viel Erfolg bei eurer Entscheidung :)

Ahoi
-mathias

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 2387 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <http://lists.freifunk.net/pipermail/wlantalk-freifunk.net/attachments/20140412/00604dfe/attachment.bin>