[WLANtalk] CA(cert) und Freifunk-Netze

[Jan Lühr]

Hallo,


Am 04/12/2014 07:25 PM, schrieb Daniel Paufler:
> Hallo Jan
> 
> On 12/04/14 17:10, Mathias Mahnke wrote:
>> Am 12.04.14 14:45, schrieb Jan Lühr:
>>>>> -> Wir haben z.T Assurer in unserer Freifunk-Community. 
>>>>> Damit haben einige Mitglieder sehr viel Macht Sie könnten 
>>>>> einfach mitm-Attacken starten.
>>>> 
>>>> Auch hier scheint mir ein Missverstaendniss vorzuliegen.
>>> (...) Ja. Meine Sorge ist: -> Freifunker erstellt ein valides 
>>> Zertifikat für web.de -> Verwendet dieses Zertifikat auf seinem
>>> Server, der als Proxy für web.de agiert -> Biegt über routing /
>>> firewalling Zugriffe darauf um.
>>> 
>>> Ich möchte nicht, dass ein Freifunker, der Infrastruktur 
>>> betreibt diesen Angriff durchführen kann.
> 
>> Das geht bei CAcert nicht, da nur Domaininhaber/-verwalter 
>> (Verification erforderlich) Certs fuer fuer diese ausstellen 
>> koennen.
> 
> Genau - das geht nicht. Weiterhin kann nur 1 account die 
> freifunk.net domain im cacert-account haben. Wenn diese in einen 
> anderen account umzieht, dann werden alle certs revoked (so 
> geschehen, als ich die domain übernahm).

Danke das klingt interessant.
Was ich jetzt noch suche, ist eine Textbaustein, der dem unbedarften
Nutzer erklärt, warum gleich eine Firefox Warnung kommen könnte und
warum er das Cacert-Root-Zertifikat installieren kann.

Sowie eine einfach zu lesende, benutzerfreundliche Anleitung, wie er
das sicher tun kann.

https://www.cacert.org/index.php?id=3 gefällt mir bspw. nicht wirklich....
-> Zu viele Zertifikate zur Auswahl
-> Zertifikat soll mit GnuPG überprüft werden -> Kein nicht-Nerd kann
das sicher machen.
-> Die Seite ist selber von CAcert signtiert (Catch22). Am besten wäre
hier imho eine Seite mit EV einer anderen CA um mitm-Attacken
auszuschließen....

Danke,
Gruß, Jan