[WLANtalk] CA(cert) und Freifunk-Netze
Jan Lühr
ff at jluehr.de
Sa Apr 12 14:45:24 CEST 2014
Hallo,
Am 04/12/2014 02:35 PM, schrieb Mathias Mahnke:
> Hi Jan,
>
> Am 12.04.14 13:46, schrieb Jan Lühr:
>
>> Eine Idee ist, CAcert-Zertifikate zu verwenden und die Nutzer zur
>> Installation des CAcert-Rootzertifikats aufzufordern.
>
> Eine schoene Idee.
>
>> Hierbei sehe ich zwei Probleme:
>> -> Wir empfehlen den Benutzern etwas, was die CA selber nicht möchte.
>> Sie zog ihren Antrag in die Aufnahme von Firefox wg. eines fehlenden
>> Audits zurück.
>
> Ich glaube hier hast du etwas aus dem Zusammenhang gerissen. Es gibt
> sehr wohl - und auch ganz frische - Audit Aktivitaeten. Das sollte aber
> fuer die interne Nutzung, z.B. bei Freifunk, eher unerheblich sein.
>
>> -> Wir haben z.T Assurer in unserer Freifunk-Community. Damit haben
>> einige Mitglieder sehr viel Macht
>> Sie könnten einfach mitm-Attacken starten.
>
> Auch hier scheint mir ein Missverstaendniss vorzuliegen.
(...)
Ja. Meine Sorge ist:
-> Freifunker erstellt ein valides Zertifikat für web.de
-> Verwendet dieses Zertifikat auf seinem Server, der als Proxy für
web.de agiert
-> Biegt über routing / firewalling Zugriffe darauf um.
Ich möchte nicht, dass ein Freifunker, der Infrastruktur betreibt diesen
Angriff durchführen kann.
>> Das Problem ließe sich relativ elegant lösen, indem wir eine andere CA
>> verwenden.
>
> IMHO: Die Entscheidung welche CA - jeder muss du irgendwie "vertrauen"
> (mehr oder minder blind) und administriert werden (shared access?). Ob
> es nun die eigenen oder eine von CAcert ist, ist vermutlich eher eine
> andere Frage.
Genau. CAs, die das og. Problem haben, vertraue ich nicht.
>
> Selber machen geht auch sehr gut, so machen wir es bei uns in Rostock:
>
> http://wiki.opennet-initiative.de/wiki/Opennet_CA
> http://wiki.opennet-initiative.de/wiki/Server_Installation/Opennet_CA
>
> Das ist vermutlich mehr als man fuer deinen Fall braucht, aber als Anregung.
Selber machen hat imho genau das og. Problem.
Gruß, Jan
Mehr Informationen über die Mailingliste WLANtalk