Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate? (02/2009)

[Der_Apfel]

Das stimmt so nicht. Bei Thawte konntest Du neben Deiner E-Mail-Adresse auch Deine Personalien (kostengünstig) überprüfen lassen und hattest so ein hochwertiges Zertifikat, das Deine ECHTE Identität belegte. Bei TC dagegen kann ich mir ein Zertifikat auf jeden beliebigen Namen ausstellen lassen.

Kostengünstig oder kostenlos? (Ich habe ja nur von den kostenlosen Angeboten der beiden gesprochen.)

Und dann gab es ein richtiges Class 3 Zertifikat? Das wusste ich nicht. Schade, dass es das nicht mehr gibt.

 

[Zeisel]

Kostengünstig. Die Kosten sind

• Kopie eines amtlichen Lichtbild-Ausweises
• Fahrtkosten zum Notar
• Einige Notare nehmen eine Gebühr/Aufwandsentschädigung, andere bieten diesen Service kostenlos an.

Dann hast Du, wie oben schon gesagt, ein Zertifikat, das hochwertiger ist als das kostenpflichtige "TC Personal ID" von TC TrustCenter, das NUR die E-Mail-Adresse überprüft und in das Du JEDEN Namen schreiben kannst, der Dir beliebt! Für den (privaten) Geschäftsverkehr ist das vollkommen wertlos. Da musst Du Dir schon mindestens die "TC Business ID" kaufen, dann ist auch Deine Identität überprüft.

 

[j@n]

Großartig. Heute nacht kam übrigens auch bei mir die Mail von Thawte an. Gäbe es AT nicht, hätte ich also genau 2 Tage Vorwarnzeit gehabt. Mit so einem „Geschäftsgebaren“ kann mir diese Firma aber gerade gestohlen bleiben.

 

[bluejay]

Großartig. … hätte ich also genau 2 Tage Vorwarnzeit gehabt. …

Ich kann Dich beruhigen. Auch ohne AT hättest Du 1 Monat und 2 Tage Vorwarnzeit gehebt. Die Zertifikate enden am 16. November, nicht am 16. Oktober.
Habe übrigens gestern die nette Thawte/Verisign-Benachrichtigung bekommen.

 

[j@n]

*Patsch* :-[

Ich nehme alles zurück und behaupte das Gegenteil.

 

[Zeisel]

Die E-Mail von Thawte hat sich nun auch in meinem Posteingang eingefunden. Kein Wort allerdings von einem "revoke" der bestehenden Zertifikate. Die Angebotenen Alternativen sind keine, da der Name bzw. die Identität nicht überprüft wird. Damit kann ich mich NICHT gegenüber einem Dritten identifizieren. Das ist reine Blendung.

Die einzige echte Alternative heißt CAcert. Und die bekommt jetzt, nachdem Thawte sich aus dem WOT zurückzieht, hoffentlich kräftigen Auftrieb!

 

[Der_Apfel]

CAcert ist sicherlicht empfehlenswert, das Problem ist nur, dass nicht so versierte Nutzer nicht wissen, was zu tun ist, um solch ein Zertifikat zu überprüfen.

Möchte man ein Class 3 Zertifikat von CAcert überprüft haben, muss der Nutzer vorher zwei Root-Zertifikate von CAcert importieren, geben die ja auch schon an, wenn man sich ein Class 3 Zertifikat erstellen will:

Bitte beachten Sie: Das Klasse 3 Root Zertifikat und das Klasse 1 Zertifikat müssen beide in Ihr E-Mail-Programm
installiert/importiert werden, damit das Programm den vollständigen Vertrauenspfad (Trust-Path) überprüfen
kann. Bis in Zukunft das CAcert Zertifikat von den Browserherstellern vorinstalliert wird, dürfte das für die
meisten Benutzer eine weniger wünschenswerte Option sein.

 

[da_jones]

Joho, stimmt schon. Aber zumindest unter Mac OS X halte ich die Installation von Root-Zertifikaten immer noch für praktikabler als die Einrichtung von PGP für Mail. Ich weiß jetzt nicht, wie das unter Windows/Linux/anderen Unix ausschaut und – keine Frage – vorinstallierte Zertifikate wären wünschenswerter. Aber es könnte mittelfristig eine geeignete Alternative darstellen.

Die Tage werde ich mich mal CAcert widmen…

 

[pepi]

Ich wiederhole mich ungern, aber CAcert ist leider keine nennenswerte Alternative, da deren Root Zertifikate nicht vorinstalliert sind. Ich bin selbst seit Jahren CAcert Notar und finde es toll was sie auf die Beine stellen, aber es ist einfach notwendig, daß die Stammzertifikate auf allen halbwegs aktüllen Systemen vorinstalliert sind um die Zertifikate sinnvoll nutzen zu können. Ohne diese Voraussetzung kann ich gleich self-signed ohne jegliche CA fahren, das ist genauso sicher und genauso (wenig) vertrauenswürdig.

Viele User können keine Root Zertifikate installieren weil das Administrativ gesperrt ist, oder sie sich nicht auskennen. Das Hakerl zu erkennen ist das höchste der Gefühle was man von einem User erwarten kann.


Als Ergänzung, weil das eine oder andere Mal StartSSL (StartCom) gefallen ist.
Deren Stammzertifikate sind in Linux und Mac OS X (seit 10.4) enthalten, bei Windows seit September 2009 in XP und Vista (7 weis ich nicht). Sie werden als nur auf völlig durchgepatchten Systemen als Vertrauenswürdig eingestuft. Abgesehen davon, daß deren WoT mit 100 Notaren weltweit in Realität nicht existent ist, sitzen deren Server in Israel was als potentieller Kriegsschauplatz auch nicht unbedingt das Gelbe vom Ei ist.
Gruß Pepi

 

[User 50673]

Zwar schon 3 Tage alt, aber der Verweis auf VeriSign war mir zumindest neu.

 

[Balkenende]

Einen ganz großen Dank Euch allen!

Ich bin seit langem das erste Mal wieder Up2date in der Verschlüsselungsmaterie.

In Sachen Thawte ist das bisher komplett an mir vorbeigegegangen.

Thums up!

Edith: aber den Thread kann ich ja bewerten :-D

--> und zack!

 

[stk]

Zwar schon 3 Tage alt, aber der Verweis auf VeriSign war mir zumindest neu.

hättest du die von mir gequotete Mail gelesen: http://www.apfeltalk.de/forum/p2579464.html

 

[Zeisel]

Ich wiederhole mich ungern, aber CAcert ist leider keine nennenswerte Alternative, da deren Root Zertifikate nicht vorinstalliert sind.

Dieser Meinung kann ich mich nicht anschließen. Dass die Root-Zertifikate nicht vorinstalliert sind heißt nur, dass die Anwender dieses nicht einfordern, dass dieses Thema viel zu wenige Anwender interessiert, dass hier eine Wissenslücke oder besser Bewusstseinslücke ist. Wer sich mit dem Thema ernsthaft auseinandersetzt wird an der Hürde der Root-Zertifikate nicht scheitern.

Auf Wikipedia ist ein informatives Interview mit Philipp Gühring von CAcert verlinkt:
http://de.wikipedia.org/wiki/CAcert#Weblinks
Das andere Interview habe ich mir noch nicht angehört.

Auch das spricht für CAcert:

Wir haben mit ELSTER jetzt auch geredet, ebenso mit anderen Bundesdiensten, die für die Bürger angeboten werden. Die sagen selbst: Ja, wir stimmen dem zu, dass der Normalbürger so ein Zertifikat will. Wir sind dabei, dass das aufgenommen und anerkannt wird. Genauso ist es auch bei den Browsern. Das heißt, ich habe die Möglichkeit, mit einem Zertifikat auch eine verschlüsselte Webseite anzubieten für ein Shopsystem. Genau da ist in den Browsern eben auch die so genannte Root-CA, also das Zertifikat der Ausstellungsstelle vorhanden und da sind wir im Moment noch nicht drin. Da sind wir aber im Auditing mit der Mozilla Foundation und das heißt, dass in nächster Zeit sowohl in Firefox, als auch in Opera das Ganze zu finden sein wird.

 

[pepi]

Die User von CAcert sind sich dessen bewußt, leider hilft das nicht gegen viele Millionen DAUs denen das nicht im entferntesten beizubringen ist und schon garnicht gegen IT-Departments… Das Thema CAcert kann man im im normalen Firmenumfeld leider abhaken. In Linux/BSD und OSS Umgebungen gehts gerade noch, aber in der klassisch ignoranten Windows Welt ist da nichts zu holen.

Ansonsten scheitert man damit als CA die Root Certs wo hineinzubringen weil man die gewünschten Summen nicht bezahlen kann oder will. M$ will für eine vorinstallierte CA immerhin zarte 75k$US per anno.
Gruß Pepi

 

[User 50673]

GPGMail Plugin für 10.6 veröffentlicht.

 

[pepi]

Das schau ich mir sofort an! Danke für den Link!
Gruß Pepi

 

[Irgendein Held]

Das schau ich mir sofort an! Danke für den Link!
Gruß Pepi

Scheint soweit zu funktionieren.

 

[pepi]

Eine Webseite von Lukas Pitschl konnte ich nicht direkt finden, aber er hat einen Twitter Account (@lukele) wo er auch den Link zum neuen Plug-In gepostet hat.

Das Ding funktioniert bei mir durchaus. Hat meine alten Einstellungen von GnuPG Mail übernommen und ich konnte erfolgreich ein Mail encrypten und signieren und natürlich auch die Signature überprüfen und wieder decrypten.

Einziger Schönheitsfehler momentan, es scheint die Passwörter nicht korrekt vom Schlüsselbund zu holen weswegen man seine Passphrase manuell eingeben muß. Ich werde das weiter beobachten und schauen wie sich das weiter verhält.
Gruß Pepi

 

[Der_Apfel]

Oh, wow, großartig! Super. Bei mir funktioniert es auch.

 

[da_jones]

Wenn ich es nicht überlesen habe, dann fehlt hier noch ein Hinweis, der für einige thawte-Freemail-Nutzer interessant sein dürfte: Bis zum 16. November (also morgen) kann man bei CAcert einen guten Teil der WoT-Punkte von thawte anerkennen lassen. Das läuft über ein automatisches Verfahren und eröffnet Wechslern zumindest die Möglichkeit, den eigenen Namen in das Zertifikat einbetten zu lassen.

Die Frist ist leider bald vorbei. Ich habe es gerade erst entdeckt…