Warum ist pep-project.org nicht per HTTPs erreichbar?
Der Grund ist, dass HTTPS in der Praxis so gut wie wirkungslos ist. Nicht nur sind die gängigen Implementierungen wie OpenSSL eine mittlere Katastrophe, sondern das Konzept der CAs ist gescheitert. Gehört den Überwachern auch nur eine CA, der vertraut wird, so ist das ganze Konzept wirkungslos.
Aufgrund dieser Tatsache haben wir uns bei p≡p entschieden, “gewöhnliches” HTTPS nicht mehr zu unterstützen, um keine Sicherheit vorzugaukeln, wo keine ist.
Es wird aber demnächst ein CAcert-Zertifikat für https://cacert.pep-project.org geben. Wir warten gerade noch darauf, dass es zur Verfügung steht. Wer mehr über CAcert erfahren möchte, hier ist die CAcert Homepage.
Um den Unterschied deutlich zu machen, verwenden wir einen anderen
Hostname, eben cacert.pep-project.org
. Wer das nutzen möchte,
dem sei dringend angeraten, mindestens Certificate Pinning
einzusetzen besser gleich allen kommerziellen Root-Zertifikaten das
Vertrauen zu entziehen und stattdessen das von CAcert zu laden. Der
Aufwand jedoch rentiert sich – wie oben angedeutet – jedoch nur dann,
wenn man eine TLS-Implementierung einsetzt, der man noch vertrauen
kann.
publiziert Tue, 16 Sep 2014 13:51:29 +0200 #cacert #freiesoftware #kryptographie #p≡p #software #tls