[WLANtalk] CA(cert) und Freifunk-Netze

[Jan Lühr]

Hallo folks,

wir diskutieren zur Zeit erneut darüber, welche CA wir für die
Zertifikate in unserem Freifunk-Netz verwenden sollen.

Eine Idee ist, CAcert-Zertifikate zu verwenden und die Nutzer zur
Installation des CAcert-Rootzertifikats aufzufordern.

Hierbei sehe ich zwei Probleme:
-> Wir empfehlen den Benutzern etwas, was die CA selber nicht möchte.
Sie zog ihren Antrag in die Aufnahme von Firefox wg. eines fehlenden
Audits zurück.
-> Wir haben z.T Assurer in unserer Freifunk-Community. Damit haben
einige Mitglieder sehr viel Macht.
Sie könnten einfach mitm-Attacken starten.
* Sie haben Zugang zu Freifunk-VPN-Endpunkten und -Nodes und können das
Routing beeinflussen
* Sie haben Zugang zu Cacert und können damit Zertifkate ausstellen.

Das Problem ließe sich relativ elegant lösen, indem wir eine andere CA
verwenden.
Aber welche? StartSSL schließe ich pers. kategorisch aus, da ihr Umgang
mit heartbleed (Zertifikate nicht zu revoke'n, wenn der Besitzer nicht
zahlt) zu Misstrauen führt. (Ich pers. hab' deren Zertifikaten das
Vertrauen entzogen).

Was würdet ihr empfehlen?

Gruß, Jan