<div dir="ltr">Hey Andre,<div><br></div><div> wie war noch einmal die URL zur dem tollen Bild der Supermacht DFN CA? Irgendwie kriege ich es mit rumgooglen nicht zusammen.</div><div><br></div><div>Danke & Gruß</div><div>
Micha</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">2014-06-27 7:44 GMT+02:00 André <span dir="ltr"><<a href="mailto:andre@monsterpenguin.de" target="_blank">andre@monsterpenguin.de</a>></span>:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Der Vortrag fand in beschaulicher statt.<br>
<br>
Nach kurzer Auffrischung warum wir für Channel/Transport Security (wie TLS)<br>
auch Authentifizierung des gegenübers will. (Meist muss sich nur der Server<br>
dem Client gegenüber ausweisen. Authentifizierung des Users geschiet falls<br>
notwendig auf Applikationsebene. )<br>
Gings kurz um PKIs, was ist an der PKI fürs Web anders als z.B. an der PKI<br>
fürs FirmenVPN.<br>
(Notiz: WebPKI == die PKI Struktur die im Web benutzt wird ;) )<br>
<br>
Dann wurd es auch spannender und die Probleme von Zertifikationsrevokationen<br>
und die Überprüfung dessen wurde beleuchtet.<br>
<br>
Wenn man als Anwender Überprüfen ob nur einem oder auch anderen auf der Welt<br>
ein gewisses Zertifikat präsentiert kann man einen Notarservice wie z.B.<br>
Perspectives[0] nutzen.<br>
<br>
Weltweit verteilte Server sammeln dabei Informationen über TLS-Zertifikate und<br>
man kann die Anfragen um sich eine weitere Meinung zu Bildung.<br>
<br>
Es gab eine Frage inwiefern Inkonsistenzen Browserwarnungen erzeugen:<br>
Ich hab das nochmal getestet und bei dieser Implementierung wohl garnicht. Es<br>
gibt nur ein Icon neben der URL-Leiste das Informationen anzeigt, aber sich<br>
nicht auf die Validierung auswirkt.<br>
<br>
<br>
Ein anderer Spannender punkt war DANE, da ist die Idee Schlüsselinformationen<br>
in TLSA-Records auf dem DNS-Server zu hinterlegen. Dafür bräuchte man aber<br>
vertrauenswürdige DNS-Responses, was man z.B. mit DNSSEC erreichen könnte.<br>
<br>
Dafür durchwühl ich nochmal die Browserhostorie und schreib gesondert ;)<br>
<br>
Nutzt von euch jemand so ein Notarservices oder Client-Side Pinning oder hat<br>
schonmal TLSA-Zeug ausgerollt und Erfahrung mit gemacht?<br>
Ich wär an Erfahrungsberichten Interessiert, weil ich nicht die Zeit hab mir<br>
alles anzugucken. Und nur durch Research-Paper und Projektbeschreibung lesen<br>
kann man sich leider nur schlecht ein Bild über die Benutzbarkeit machen<br>
<br>
Danke, dass welche da waren! :)<br>
<br>
Andre<br>
<br>
<br>
<br>
<a href="http://perspectives-project.org/" target="_blank">http://perspectives-project.org/</a><br>
<div class="HOEnZb"><div class="h5"><br>
On Thursday 26 June 2014 12:47:41 andre wrote:<br>
>Huhu,<br>
><br>
>wollt nochmal dran erinnern, nich das danach welche sagen "ohh wusst ich<br>
>nich und musst jetz notgedrungen fuba gucken .."<br>
><br>
>Vmtl. hat eh keiner die Absicht Tore zu schießen, könnte ja die<br>
>transatlantische freundschaft gefährden oder der Spielplan und die<br>
>Taktik ist eh schon über die bekannten Spy agencies geleakt.<br>
><br>
>Daher viel lieber sich informieren, ob man z.B. wirklich direkt mit dem<br>
>Webshop spricht, bei dem man das supertolle Gadget klicken will ;)<br>
><br>
><br>
>Grüße<br>
>Andre<br>
><br>
><br>
><br>
><br>
><br>
>On 06/24/2014 01:56 PM, andre wrote:<br>
>> Huhu,<br>
>><br>
>> Donnerstag gibts ja wieder n voll tollen Vortrag. Ich hoffe mit den<br>
>> Zügen passt alles, ich werde mir ausreichend Puffer einplanen.<br>
>><br>
>> Vorwissen ist keins von Nöten, aber man sollte mal son Webbrowser<br>
>> benutzt haben um die Problematik zu verstehen ;)<br>
>> Detailtiefe wird dann ad hoc dem anwesenden Publikum angepasst.<br>
>> Bin Fragen, Anregungen und Wünschen gegenüber offen ;)<br>
>><br>
>><br>
>> Bis Donnerstag<br>
>> Andre<br>
><br>
<br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Beat me, whip me, make me use Windows!
</div>