[WLANtalk] CA(cert) und Freifunk-Netze

[Jan Lühr]

Hallo,


Am 04/12/2014 02:35 PM, schrieb Mathias Mahnke:
> Hi Jan,
> 
> Am 12.04.14 13:46, schrieb Jan Lühr:
> 
>> Eine Idee ist, CAcert-Zertifikate zu verwenden und die Nutzer zur
>> Installation des CAcert-Rootzertifikats aufzufordern.
> 
> Eine schoene Idee.
> 
>> Hierbei sehe ich zwei Probleme:
>> -> Wir empfehlen den Benutzern etwas, was die CA selber nicht möchte.
>> Sie zog ihren Antrag in die Aufnahme von Firefox wg. eines fehlenden
>> Audits zurück.
> 
> Ich glaube hier hast du etwas aus dem Zusammenhang gerissen. Es gibt
> sehr wohl - und auch ganz frische - Audit Aktivitaeten. Das sollte aber
> fuer die interne Nutzung, z.B. bei Freifunk, eher unerheblich sein.
> 
>> -> Wir haben z.T Assurer in unserer Freifunk-Community. Damit haben
>> einige Mitglieder sehr viel Macht
>> Sie könnten einfach mitm-Attacken starten.
> 
> Auch hier scheint mir ein Missverstaendniss vorzuliegen. 
(...)
Ja. Meine Sorge ist:
-> Freifunker erstellt ein valides Zertifikat für web.de
-> Verwendet dieses Zertifikat auf seinem Server, der als Proxy für
web.de agiert
-> Biegt über routing / firewalling Zugriffe darauf um.

Ich möchte nicht, dass ein Freifunker, der Infrastruktur betreibt diesen
Angriff durchführen kann.

>> Das Problem ließe sich relativ elegant lösen, indem wir eine andere CA
>> verwenden.
> 
> IMHO: Die Entscheidung welche CA - jeder muss du irgendwie "vertrauen"
> (mehr oder minder blind) und administriert werden (shared access?). Ob
> es nun die eigenen oder eine von CAcert ist, ist vermutlich eher eine
> andere Frage.

Genau. CAs, die das og. Problem haben, vertraue ich nicht.

> 
> Selber machen geht auch sehr gut, so machen wir es bei uns in Rostock:
> 
> http://wiki.opennet-initiative.de/wiki/Opennet_CA
> http://wiki.opennet-initiative.de/wiki/Server_Installation/Opennet_CA
> 
> Das ist vermutlich mehr als man fuer deinen Fall braucht, aber als Anregung.

Selber machen hat imho genau das og. Problem.

Gruß, Jan