[zurück][ältere Posting][neuere Posting] Freitag, 05 September 2014 | Blog: 11 | No: 30125
Hmm,
The certificate is not trusted because it was signed using a signature algorithm that was disabled because that algorithm is not secure.Das bezieht sich vermutlich auf das MD5, das cacert verwendet, um ihren Root-Key damit zu hashen. Es gibt auch nichts, was ich dagegen tun könnte, das ist ein Problem von cacert.
(Error code: sec_error_cert_signature_algorithm_disabled)
Ich finde es gelinde gesagt überraschend, dass Firefox, die seit gefühlt vorgestern überhaupt erst TLS 1.2 sprechen, jetzt solche Dinger bringen. Aber inhaltlich haben sie Recht. Zertifikate, bei denen in der Kette irgendwo MD5 auftaucht, darf man nicht mehr akzeptieren. Eigentlich schon länger nicht mehr.
Die gute Nachricht ist: Das Problem ist lösbar. Mozilla hat das vor ein paar Jahren angesagt, und cacert hat eine neue Signatur unter ihrem Root-Zertifikat gemacht. Ob ihr betroffen seid, hängt also davon ab, wann ihr die Zertifikate bei euch lokal eingepflegt habt. Und ihr könnt das Problem jetzt lösen, indem ihr die cacert-Zertifikate rausschmeißt und neu installiert.
Update: Hmm, nee, so einfach ist das nicht. Einige cacert-Sites sind mit dem einen Key signiert, der sich so reparieren lässt, einige (zu denen auch blog.fefe.de gehört) sind mit dem anderen Key signiert und gehen auch nach Neueinspielen der Zertifikate noch nicht. Ich guck mal, ob ich da was tun kann.
Update: Ich habe den Unterschied zwischen meinem Blog und der anderen Site, bei der es nach Zertifikatsupdate geht, identifiziert. Mein Blog ist mit dem Class1-Key signiert, die andere Site mit dem Class3-Key. Den kann man auch separat in den Trust Store einpflegen, dann spielt es keine Rolle mehr, ob das Class1-Root-Zertifikat den Class3-Key nur mit MD5 signiert hat. Allerdings scheint das ein politisches Problem zu sein, kein technisches, denn man kann das nicht auswählen, ob man Class1 oder Class3 haben will. Für Class3 muss man "Assured Member" sein. Bin ich nicht. Will ich auch nicht werden. Damit ist cacert dann wohl zukünftig ungeeignet.
Twiter-Ticker
Fefes Latest Youtube Video Links
Der Betrieb der KraftZeitung kostet Geld. Da wir auch weiterhin unabhängig, überparteilich und ohne kommerzieller Werbung für Sie da sein wollen, sind wir auf Ihre Spende angewiesen. Vielen Dank.
