[Freifunk-Bonn] Fwd: [WLANtalk] CA(cert) und Freifunk-Netze

[Jan Lühr]

Hallo,

twmic. Lasst uns die Diskussion bitte ggf. auf wlan-talk führen.

Gruß, Jan


-------- Original-Nachricht --------
Betreff: [WLANtalk] CA(cert) und Freifunk-Netze
Datum: Sat, 12 Apr 2014 13:46:28 +0200
Von: Jan Lühr <ff at jluehr.de>
Antwort an: WLAN Layer 8 <wlantalk at freifunk.net>
An: wlantalk at freifunk.net

Hallo folks,

wir diskutieren zur Zeit erneut darüber, welche CA wir für die
Zertifikate in unserem Freifunk-Netz verwenden sollen.

Eine Idee ist, CAcert-Zertifikate zu verwenden und die Nutzer zur
Installation des CAcert-Rootzertifikats aufzufordern.

Hierbei sehe ich zwei Probleme:
-> Wir empfehlen den Benutzern etwas, was die CA selber nicht möchte.
Sie zog ihren Antrag in die Aufnahme von Firefox wg. eines fehlenden
Audits zurück.
-> Wir haben z.T Assurer in unserer Freifunk-Community. Damit haben
einige Mitglieder sehr viel Macht.
Sie könnten einfach mitm-Attacken starten.
* Sie haben Zugang zu Freifunk-VPN-Endpunkten und -Nodes und können das
Routing beeinflussen
* Sie haben Zugang zu Cacert und können damit Zertifkate ausstellen.

Das Problem ließe sich relativ elegant lösen, indem wir eine andere CA
verwenden.
Aber welche? StartSSL schließe ich pers. kategorisch aus, da ihr Umgang
mit heartbleed (Zertifikate nicht zu revoke'n, wenn der Besitzer nicht
zahlt) zu Misstrauen führt. (Ich pers. hab' deren Zertifikaten das
Vertrauen entzogen).

Was würdet ihr empfehlen?

Gruß, Jan

_______________________________________________
WLANtalk mailing list
WLANtalk at freifunk.net
Abonnement abbestellen? ->
http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net

Weitere Infos zu den freifunk.net Mailinglisten und zur An- und
Abmeldung unter http://freifunk.net/mailinglisten