Moin,

Da läßt sich keiner drauf ein. Man beschaue sich nur die ganzen Warnungen, die die großen Browser loslassen, wenn sie auf ein Zertifikat stoßen, das nicht in ihrer Liste ist! Dem unbedarftem User kräuseln sich dabei doch die Fußnägel!

Du meinst die selben unbedarften Anwender die auf alles klicken was einen OK-Knopf hat und nicht schnell genug vom Bildschirm verschwindet? Die selben unbedarften Anwender, dank denen sich iloveyou rasend schnell verbreitet hat? Ich glaube eher nicht, dass die ein Probleme darstellen ;)

Die nicht ganz so unbedarften Anwender, die sich Meldungen auch durchlesen bevor sie sie bestätigen, wissen hoffentlich, dass die Unterschrift von Verisign oder Konsorten exakt nichts über die Vertrauenswürdigkeit des Servers aussagt und es im Falle extremer Paranoia wesentlich geeignetere Wege gibt, ein Zertifikat zu überprüfen.

Und wie gesagt, ist das alles eine Frage der Anwendung. Wenn Kati die Anwendung nur auf einer begrenzten Zahl an Rechnern nutzen will, kann sie da das Zertifikat von Vorneherein manuell installieren. Überhaupt soll die Benutzergruppe doch geschlossen sein (sonst wären die Passwörter wohl kaum nötig), da kann man jedem Benutzer doch zusammen mit dem Passwort den Fingerprint des Serverzertifikats aushändigen und ihn instruieren wie er auf die Browserwarnung zu reagieren hat (also Fingerprint überprüfen, und falls er ok ist, dann das Zertifikat dauerhaft annehmen).

--
Henryk Plötz
Grüße aus Berlin