[WLANtalk] CA(cert) und Freifunk-Netze

[Daniel Paufler]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo Jan

On 12/04/14 17:10, Mathias Mahnke wrote:
> Am 12.04.14 14:45, schrieb Jan Lühr:
>>>> -> Wir haben z.T Assurer in unserer Freifunk-Community. Damit
>>>> haben einige Mitglieder sehr viel Macht Sie könnten einfach
>>>> mitm-Attacken starten.
>>> 
>>> Auch hier scheint mir ein Missverstaendniss vorzuliegen.
>> (...) Ja. Meine Sorge ist: -> Freifunker erstellt ein valides
>> Zertifikat für web.de -> Verwendet dieses Zertifikat auf seinem
>> Server, der als Proxy für web.de agiert -> Biegt über routing /
>> firewalling Zugriffe darauf um.
>> 
>> Ich möchte nicht, dass ein Freifunker, der Infrastruktur betreibt
>> diesen Angriff durchführen kann.
> 
> Das geht bei CAcert nicht, da nur Domaininhaber/-verwalter
> (Verification erforderlich) Certs fuer fuer diese ausstellen
> koennen.

Genau - das geht nicht. Weiterhin kann nur 1 account die freifunk.net
domain im cacert-account haben. Wenn diese in einen anderen account
umzieht, dann werden alle certs revoked (so geschehen, als ich die
domain übernahm).

Was wir noch "testen" müssen, ist ob subdomains direkt in anderen
accounts leben können und dort weitere sub-certs erstellt werden
können. (hamburg.freifunk.net und dann darunter www.hamburg.freifunk.net)

Daniel

- -- 
Dipl. Inf. (FH) Daniel Paufler
Angewandte Informatik - Computer Aided Facility Management

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iEYEARECAAYFAlNJdyEACgkQq6ymFUkZLTLTeQCg3DVpDyqV7MI8GOpGm3WG+K3Z
0sEAnRTGRVCIzMIJhw7t2hOGXAm+6D6P
=oQIK
-----END PGP SIGNATURE-----