Hi,

Dagegen ist natürlich nichts zu sagen, beileibe nicht, aber es ist nunmal nicht das Gleiche wie eines, das auf die eigene Firma ausgeschrieben ist.

Jepp. Aber wie gesagt, die Zertifikate wurden direkt auf mich ausgestellt, keine Zwischenzertifikate, genau so wie von den "Großen", halt mit schlechterer Browser-Unterstützung...  aber für bestimmte Zwecke reicht es (kommt AFAIK irgendwo von GeoTrust). Und selbst für IE4 und NN4 gibt es für deutlich unter 100 USD.

Hast Du da Adressen? Kenne da nur die üblichen Verdächtigen (kann aber auch eigentlich keinen anderen nutzen, da es wirklich _überall_ funktionieren muß) und die sind zwar etwas billiger geworden, aber unter rund 250 EUR ist da eigentlich nichts Vernünftiges zu bekommen.

Naja, das das nicht so einfach ist, ist klar. Aber auch kein wirkliches Problem, da z.B. bei der Lösung mit Javascript Einmalhashes verwendet werden bzw sogar ein kompletter Handshake durchgeführt werden kann.
Habe sowas allerdings noch nie "live und in Farbe" gesehen. Weißt Du wo sowas eingesetzt wird?

Höchstens in einem "Proof of Concept", da der Aufwand für den Effekt einfach zu groß ist. Kryptographie erfordert nunmal einen Profi bei der Implementation, da nimmt man doch besser fertige Lösungen, wenn man es nicht selber kann und selbst dann.
Acho: nein, mir ist tatsächlich keine fertige Implementation bekannt. Wäre vielleicht mal 'was für die kommenden langen Winterabende? ;-)

Auch nach all den Jahren noch? RFC 2617 ist immerhin von 1999!
Von wann war noch gleich der IE5/6? ;-)

Ja gut, ich ziehe zurück ;-)

Ein Problem sehe ich darin, dass mod_ssl/openssl letzte Zeit des öfteren durch mehr oder weniger gefährliche Bugs aufgefallen sind -> zusätzliches Risiko.

Ähmm, Du implizierst also, das es keine Bugs gibt, wenn keine bekannt sind?
mache ich das?

Es machte zumindest den äußerlichen Anschein.

Ich sage nur, dass es mir so vorkommt, dass mod_ssl in letzter Zeit des öfteren aufgefallen ist. Und ich befürchte halt, dass wenn in einer so populären Software über einen längeren Zeitraum regelmäßig Lücken gefunden werden, dass dies evtl. mehr oder weniger so weitergeht ;-)

Hast Du ein Glück, dsa Du da ein Smiley hintergesetzt hast. Wäre Dir doch beinahe auf den Leim gegangen ;-)

Und ich rechne auch damit, dass die Lücken bekannt werden bevor meine Distribution ein Patch bereit stellt...

Ja, das können schon ein paar Minuten sein, bis ein Patch bereitsteht, wenn eine Sicherheitslücke bekannt wird. Denn diese Lücke muß ja schließlich erst mal bekannt sein, damit ein Patch gebastelt werden kann.

Und ja, ich rechne auch damit dass noch viele Fehler enthalten sind, die noch nicht bekannt sind, oder nicht öffentlich...

Es hält Dich keiner, danach Auschau zu halten. Adresse zum Bezug der Quellen ist ja bekannt.

Was ich damit aber meine, ist dass mod_ssl merklich ein zusätzliches Sicherheitsrisiko birgt, und dass ich drauf verzichten würde, wenn ich es nicht wirklich brauche.

Jedes Programm, das Du betreibst ohne es zu benötigen und zwar wirklich _jedes_ birgt ein zusätzliches Sicherheitrisiko, da hast Du recht.

so short

Christoph Zurnieden