AW: AW: SSL-Sicherheitsproblem
Hahnefeld Bjoern
bjoern.hahnefeld at dallmeier-electronic.com
Fre Mai 16 12:54:22 BST 2008
Hey Sascha,
wenn aber nur der Root einen SSH-Zugang hat und der nicht mit Zertifikaten arbeitet sondern mit Passwörtern, dann ist ja offensichtlich 6.06 LTS nicht gefärdet, richtig?
Viele Grüße
Björn
-----Ursprüngliche Nachricht-----
Von: ubuntu-de-bounces at lists.ubuntu.com [mailto:ubuntu-de-bounces at lists.ubuntu.com] Im Auftrag von Sascha Vogt
Gesendet: Freitag, 16. Mai 2008 12:11
An: ubuntu-de at lists.ubuntu.com
Betreff: Re: AW: SSL-Sicherheitsproblem
Hi,
Hahnefeld Bjoern schrieb:
> besten Dank für die kompetente Auskunft. Doch bei einem ISP-Rechner
> kann ja nicht einfach so ein benutzer ein ssl-cert ablegen, es sei
> denn es ist ein https-account! Stimmt das?
https-Account? Kannst mir erklären was das ist?
Jeder mit einem SSH-Account kann (falls der Server das erlaubt, was er eigentlich immer tut, auch bei ISP-Servern) key-authentication einrichten. Und wenn er das tut, und einen schwachen Key verwendet ist dieser Account gefährdet.
Die SSL-Zertifikate für den Webserver stehn auf einem ganz anderen Blatt und wenn ich richtig informiert bin (Laut Debian-Wiki [0]), hat noch keiner bestätigt, dass das Blacklist-Tool für Zertifikate überhaupt zuverlässig schwache Keys erkennt. Es "soll" nur "reliably" funktionieren.
Gruß
-Sascha-
[0]http://wiki.debian.org/SSLkeys
--
ubuntu-de mailing list
ubuntu-de at lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-de