Das ewige Ärgernis Zertifikate schafft ständig neue Probleme. Man braucht sie immer, wenn man im Internet einen Server mit
verschlüsselten Verbindungen betreibt. Diese kleinen Dateien kosten auch noch Geld, außer im Falle von Let's Encrypt.
Warum kosten die wo anders eigentlich Geld?
Diese Zertifikatsart hat genau eine Aussage: Der Antragsteller des Zertifikats hat (derzeit) die Kontrolle über die Domain,
für die das Zertifikat ausgestellt werden soll. Außer der Tatsache, dass mit diesem Zertifikat eine verschlüsselte Verbindung
aufgebaut werden kann, besagt das Schloss überhaupt nichts. Die "Kosten" für das Let's Encrypt Zertifikat spiegeln den genauen
Gegenwert des Zertifikats wider. Es gibt keinen Grund mehr für das Zertifikat zu bezahlen. Mit DNSSEC und TLSA/DANE sind
Domain Validated Zertifikate eigentlich obsolete - wenn die Browserhersteller da endlich mal mitziehen würden.
Mit DANE wären auch selbstsignierte Zertifikate sicher. Leider verabschieden sich die Browserhersteller von dieser Lösung.
Irgendwer hat vielleicht geprüft, ob die Organisation, für das das Zertifikat ausgestellt wurde, existiert. Da gründet man einfach
im US Bundesstaat Delaware eine Firma, das geht da anonym und so lange da jemand die Bundessteuern zahlt, interessiert
sich niemand für den Eigentümer. Diese Validierung besagt also auch nicht mehr als Domain Validated.
Mit diesen teuren Zertifikaten prüft jemand (angeblich) genauer, ob die Organisation existiert. Auch da gründet man einfach im
US Bundesstaat Delaware eine Firma, das geht da anonym und so lange da jemand die Bundessteuern zahlt, interessiert sich niemand
für den Eigentümer. Abgesehen von diesem hübschen, grünen Streifen besagt diese Validierung also auch nicht viel mehr als
Domain Validated.
Es fing 2011 mit DigiNotar an, ab da gab es kaum ein Jahr ohne Zwischenfälle. StartSSL (R.I.P.) hat mal für 149,- US$ p.a. + 49,-
für jedes weitere Zertifikat das günstigste Angebot für EV gehabt. Nach der Nacht und Nebel Übernahme durch Wosign und der
sha1 Affäre 2016 wurden die aus den Browsern gekickt.
Wenn man den Mails in der Mozilla Security-Mailingliste Glauben schenken darf, dann hat Symantec (vormals Verisign) wohl ein wenig
die Übersicht über seine Sub-CAs (einschließlich US-Geheimdienste?) verloren, so dass offenbar rund 30000 Zertifikate ausgestellt
wurden, die nach den Regeln des CA/Browser Forums nicht hätten ausgestellt werden dürfen. Konsequenterweise müssten die eigentlich
wie StartSSL behandelt werden - oder gilt hier "Too big to fail?". Dafür nehmen die auch die höchsten Preise - wofür eigentlich?
Wie praktisch für Symantec, dass bei den Banken nicht kostenbewusst gearbeitet wird. Inzwischen hat Diginotar die
Zerfikatesparte von Symantec gekauft.
Streng genommen muss man als Anwender alle PKIs aus dem Browser löschen. Vertrauenswürdig ist da keine.
Was an CAcert schlechter sein soll, als bei Symantec, erschließt sich mir nicht wirklich.