Server-Zertifikat

beage schrieb:
Ich beschäftige mich damit seit vielen Jahren beruflich. Ich entwickle u.a. Erweiterungen für Shopsysteme. Online-Shops kommen ohne Zertifikate nicht aus! Oder besser gesagt, es steigert enorm das Vertrauen der Kunden. Du kaufts nichts online? Oder ist es Dir egal, ob der Server per SSL verschlüsselt? Auch kein Online-Banking?
Zum Vergrößern anklicken....

Wo steht das? Natürlich mache ich das nur ssl verschlüsselt. Ich mache sogar seit nem Jahr nur Banking über HBCI mit meiner Linux kiste, und ich lasse mit kein handyTan Scheiß andrehen usw. Zufrieden?!
Und was hat SSL ja oder nein, damit zu tun, ob die Commerzbank da n selbstausgestelltes Zertifikat hinbaut, oder eines von VersiSign? SSL Verschlüsselt ist es so oder so, und es macht die Sache nicht sicherer, wenn es von VersiSign ist.

Und du, hast du anderes Passwort hier auf Macuser, weil die anmeldung ohne https läuft, und du kein bullshit CA hier hast?

Du verschlüssselst deine Mails auch mit s/mine statt pgp, hab ich recht?
 
War ja klar. Keine Argumente mehr?

Was hast du da von ner Kette, wenn schon Hacker am Anfang deiner tollen Ketten die Zertifikate haben? Richtig, gar nichts..
 
Wenn man das ganze nur unter Sicherheitsaspekten sieht, wäre es durchaus sinnvoll seinen Kontostand auf so vielen Webseiten und Foren zu veröffentlichen. Die Chance, dass ein potentieller Angreifer alle publizierten Kontostände ändert, ist dann nämlich weitaus geringer.

Sollte meine Sparkasse also morgen einem Hacker zum Opfer fallen, ist hier schonmal eine Möglichkeit die Daten zu finden:

4.375,43 Euro

Ich werde ihn gleich noch twittern.

Für SSL Zertifikate gilt:

a) Für den sicheren Betrieb einer Webseite ist die Echtheit irrelevant, sie dient nur der Verification durch die Besucher
b) Wenn man SSL einsetzen möchte und kein Geld ausgeben will ist ein selbstsigniertes Zertifikat die beste Wahl.
c) Durch die Veröffentlichung der Fingerprints wäre auch ohne CA eine Verifizierung der Echtheit gegeben. Wenn man meinem Beispiel oben folgt.

Was hier mitlerweile an Diskussionen abgeht, ist echt furchtbar.
 
pmau schrieb:
a) Für den sicheren Betrieb einer Webseite ist die Echtheit irrelevant, sie dient nur der Verification durch die Besucher
b) Wenn man SSL einsetzen möchte und kein Geld ausgeben will ist ein selbstsigniertes Zertifikat die beste Wahl.
c) Durch die Veröffentlichung der Fingerprints wäre auch ohne CA eine Verifizierung der Echtheit gegeben. Wenn man meinem Beispiel oben folgt.

Was hier mitlerweile an Diskussionen abgeht, ist echt furchtbar.
Zum Vergrößern anklicken....

Eben. Jetzt viel Spaß hier, da du das gleiche denkst, kannst du weitermachen hier, ..
 
xentric schrieb:
War ja klar. Keine Argumente mehr?

Was hast du da von ner Kette, wenn schon Hacker am Anfang deiner tollen Ketten die Zertifikate haben? Richtig, gar nichts..
Zum Vergrößern anklicken....

Nö, ich hab nur keine Lust mehr, mit Besserwissern zu diskutieren die keine Ahnung haben.
 
pmau schrieb:
Wenn man das ganze nur unter Sicherheitsaspekten sieht, wäre es durchaus sinnvoll seinen Kontostand auf so vielen Webseiten und Foren zu veröffentlichen. Die Chance, dass ein potentieller Angreifer alle publizierten Kontostände ändert, ist dann nämlich weitaus geringer.

Sollte meine Sparkasse also morgen einem Hacker zum Opfer fallen, ist hier schonmal eine Möglichkeit die Daten zu finden:

4.375,43 Euro

Ich werde ihn gleich noch twittern.

Für SSL Zertifikate gilt:

a) Für den sicheren Betrieb einer Webseite ist die Echtheit irrelevant, sie dient nur der Verification durch die Besucher
b) Wenn man SSL einsetzen möchte und kein Geld ausgeben will ist ein selbstsigniertes Zertifikat die beste Wahl.
c) Durch die Veröffentlichung der Fingerprints wäre auch ohne CA eine Verifizierung der Echtheit gegeben. Wenn man meinem Beispiel oben folgt.

Was hier mitlerweile an Diskussionen abgeht, ist echt furchtbar.
Zum Vergrößern anklicken....

Uhh, noch so einer
 
beage schrieb:
Uhh, noch so einer
Zum Vergrößern anklicken....

Ich kann Dir Photo Booth empfehlen, ist auf dem Mac drauf.
Da kann man noch ein paar Vögelchen um seinen Kopf kreisen lassen oder nen Strand einblenden.
Ist echt gut, versuch's mal.
Entspannt.
 
pmau schrieb:
a) Für den sicheren Betrieb einer Webseite ist die Echtheit irrelevant, sie dient nur der Verification durch die Besucher
b) Wenn man SSL einsetzen möchte und kein Geld ausgeben will ist ein selbstsigniertes Zertifikat die beste Wahl.
c) Durch die Veröffentlichung der Fingerprints wäre auch ohne CA eine Verifizierung der Echtheit gegeben. Wenn man meinem Beispiel oben folgt.
Zum Vergrößern anklicken....

zu a) Verstehe ich nicht wirklich. Man wollte doch von beiden Seiten (Betreiber u. Besucher) immer, dass der Besucher auf der »echten« Seite und die Verbindung verschlüsselt ist.
Auf einer Phishing-Seite ist es doch egal, ob auch noch verschlüsselt wird, da sollen die Daten ja nicht hin.

zu b) Warum dann nicht startssl oder cacert.org?

zu c) Du meinst die Veröffentlichung der Key-Fingerprints. Aber wo willst du die veröffentlichen, auf einigen, privaten Servern oder einer Keyserver-Infrastruktur? Und dann hast du PGP.

Ich denke, es können sich langfristig nur WebofTrust-Systeme durchsetzen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten