Kategorien
Blog

keygen

Ich muss Abbitte leisten, denn ich habe Unsinn erzählt. Da und da.

Ich habe gemutmaßt, günstige CAs wie StartSSL würden bei der Erzeugung der X.509-Client-Zertifikate sowohl den öffentlichen als auch den privaten Teil des Schlüssels auf ihrem Server erzeugen und dann dem Benutzer zur Verfügung stellen. Das hätte bedeutet, dass sie selbst — oder irgendwelche Strafverfolgungsbehörden, die sich den privaten Schlüssel  mit irgendwelchen Gerichtsbeschlüssen besorgt hätten — später meine verschlüsselten Mails hätten entschlüsseln können.

In Wirklichkeit funktioniert das ganz anders: das schöne HTML5-Tag <keygen> weist den Browser an, den Schlüssel lokal zu erzeugen und nur den CSR zur Zertifizierungsstelle zu schicken — so, wie es gedacht ist. Außer natürlich beim Internet Explorer, der kann das nicht.

Ich revidiere also meine Meinung: lasst Euch bei StartSSL (oder einem ähnlichen Anbieter) ein X.509-Zertifikat ausstellen, dann könnt Ihr Eure Mails mit S/MIME verschlüsseln und signieren.

Von dentaku

Site Reliability Engineer, Internet-Ureinwohner, Infrastrukturbetreiber, halb 23-Nerd halb 42-Nerd, links, gesichtsblind.

Schreibt mit "obwaltendem selbstironischem Blick auf alles Expertentum" (Süddeutsche Zeitung)

4 Antworten auf „keygen“

[…] Ich widerrufe, @343max, @ziromr: dentaku.wazong.de/2013/07/05/keygen/  #  Microblog     […]

Stefan Seiz sagt:

Spricht was dagegen, sich einfach selbst ein Cert zu generieren? Geht auf dem Mac mit der Schlüsselbund app ganz einfach.

dentaku sagt:

Für den reinen Verschlüsselungszweck: nein, aber wenn Du mit einem solchen Zertifikat Mails signierst, dann kann Dein gegenüber nicht verifizieren, dass die von Dir ist.
Um das zu bestätigen verwendet X.509 (also der Zertifikatstyp für z.B. TLS und S/MIME) eine Hierarchie von (mehr oder weniger vertrauenswürdigen) Zertifizierungsstellen. Flexibler ist da PGP mit seinen benutzerdefinierten Vertrauensstellungen. Aber das ist auch komplizierter.

[…] Zusätzlich verlangen die meisten der CAs eine  jährliche Gebühr dafür, dass sie die Identität überprüfen und bestätigen (es geht aber auch kostenlos). […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert