Re: gmx Fingerprint geändert?
Von: Heiko Schlichting (heiko@cis.fu-berlin.de) [Profil]
Datum: 16.04.2008 20:56
Message-ID: <66n0f3F2k1bp4U1@mid.uni-berlin.de>
Newsgroup: de.comm.provider.mail
Datum: 16.04.2008 20:56
Message-ID: <66n0f3F2k1bp4U1@mid.uni-berlin.de>
Newsgroup: de.comm.provider.mail
Juergen P. Meier <nospam-1984@jors.net> wrote: > Uwe Scholz <nurfuernews@web.de>: >> Am Wed, 16 Apr 2008 08:59:51 +0000 schrieb Juergen P. Meier: >> >> Mit welchem Befehl bekommt man denn die Information, die du oben gepostet >> hast? > > openssl s_client -connect pop.gmx.de:pop3s > > Den BEGIN CERTIFICAT-Block dann in "openssl x509 -text" pasten. Das geht auch in einem Schritt: openssl s_client -connect pop.gmx.de:pop3s < /dev/null 2>/dev/null | openssl x509 -noout -dates Der Befehl sollte dann notBefore=Apr 14 06:52:25 2008 GMT notAfter=May 10 07:06:14 2009 GMT liefern. >> Wahrscheinlich werde ich mich für Variante 1 entscheiden. > > Damit bist du leider nicht der einzige. Auch wenn die SSL-PKI so gedacht > war. Aber das mit dem Vertrauen in irgendwelche dahergelaufenen > Kapitalgesellschaften ist so eine Sache: es ist zu billig. Ein Thawte-Zertifikat sollte das Risiko auf jeden Fall deutlich verkleinern. Zwar gab es ja ein paar Fehltritte bei der Muttergesellschaft Verisign(*), aber insbesondere wenn GMX echte Zertifikate von Thawte bezieht, dürfte es Dritten doch sehr, sehr schwer fallen, sich ein gefälschtes Zertifikat für den gleichen CN von Thawte zu holen, da das bei deren Prüfungen sofort auffällt und der Namensraum blockiert wird. Jedenfalls ist das bei unseren Thawte-Zertifikaten via sPKI so. (*) Habe jetzt aber länger nichts mehr gehört. Haben die das Geschäft inzwischen besser im Griff oder berichtet nur niemand mehr davon? Heiko[ Auf dieses Posting antworten ]