Die Error Message BTW sagt dem Benutzer einfach, dass das Cert nicht gültig ist. CACert wird nicht erklärt. Aber das sollte auch nicht notwendig sein. Sicherheit, die so kompliziert ist, ist eben keine Sicherheit.

Der CCC wird am kommenden Firefox 3 gar keine Freude haben. Die Cert-Warnung lässt sich in Firefox 3 nicht mehr so leicht wegklicken wie bisher. Aber gut, der CCC wird sich sagen, dass sowieso fast niemand ein Cert nutzt um die CCC Sites zu browsen.

Wäre zumindest wünschenswert, dann müsste ich diese Antwort hier nämlich auch nicht schreiben.

Ok, damit ist das hier erledigt.

Ja, das Problem lässt sich so lösen …

Das mit den Zertifikaten ist nunmal so, das lässt sich ohne weiteres nicht ändern. Nein, die Lösung, da einfach nur ein Zertifikat bei Verisign zu ordern, ist keine.

… wo liegt denn dabei das Problem?

Hast Du die Zertifikate von CACert bei Dir im OSX eingetragen? Mein Adium jammert da durchaus nicht mehr…

Ja, so lässt sich die Fehlermeldung beseitigen … aber wünschenswert wäre ein Zertifikat, dass ohne diesen Umweg ohne Fehlermeldung funktioniert.

Aufgrund solcher Fehlermeldungen halten es inzwischen viele Benutzer normal, dass bei SSL-Verbindungen Fehler gemeldet werden – damit wird der Zweck von SSL untergraben, denn die Benutzer klicken solche Fehlermeldungen schlicht weg anstatt zu prüfen, wieso das Zertifikat als ungültig gemeldet wird.

Möchtest Du den Artikel vielleicht erneut kommentieren und die Situation nach dem Serverupgrade ansprechen? Vielleicht hat sich was geändert, vielleicht nicht? Danke

Im Bezug auf das Zertifikat hat sich leider nichts geändert …

… abgesehen davon läuft der Server nun aber zuverlässig; Probleme beim Login sind nicht mehr zu verzeichnen.

ich habe sogar auf gmail ein Problem gehabt weil er meint es ist das falsche SSL und auch bei jabber.org, was mich schon sehr wundert, habe leopard relativ neu und eben nur viele darwin ports instaliert, aber reine spekulation.

Apropos CAcert.org: http://www.cacert.org/index.php?id=3 hilft Interessierten weiter.

Das dass Zertifikat auf jabberd.ccc.de ausgestellt wurde ist zwar unschön aber eben nicht falsch. Dann verbindet man Adium eben dahin. Hat man das CAcert.org Wurzelzertifikat im Cache (generell eine gute Idee, benutzen schon recht viele freie Seiten) bekommt man bei Adium keine Fehlermeldung.

https://www.ccc.de ist im übrigen völlig korrekt. Die Fehlermeldungen die man da bekommt, rühren allein von einem fehlendem Wurzelzertifikat her.

Unbestreitbar ist natürlich das Verschlüsselungen bis dato noch alles andere als benutzerfreundlich ist. Aber seit dem 1.1. macht es auf jeden Fall Sinn sich wenigstens mal oberflächlich (sprich ohne die unterliegende Technik anzusehen) mit dem Thema auseinanderzusetzen.

Ja, die Probleme mit dem neuen Adium sind mir durchaus bekannt. Evtl. wird sich das mit einem neuen Zertifikat beheben lassen, was dann in Verbindung mit der neuen Hardware auftauchen wird.

Bis dahin bitte ich noch um ein wenig Geduld,

der Defaultschuldige.

@Heiko: Beim CCC-Jabber-Server scheint das Problem nicht CA-bedingt zu sein. Im Bezug auf die CA-Problematik möchte ich aber anfügen, dass SSL-Zertifikate, die ohne Murren akzeptiert werden, nicht mehr die Welt kosten, die günstigsten Zertifikate erhält man ab etwa 15 EUR pro Jahr.

Der CCC vermindert damit die Sicherheit von SSL. Kaum ein Benutzer prüft ein SSL-Zertifikat. Noch schlimmer: Die Benutzer sind sich Fehlermeldungen zu SSL gewöhnt und klicken sie einfach weg. Da hat der CCC seine Hausaufgaben wirklich nicht gemacht!

Bei https://www.ccc.de/ gibt es leider auch ein Problem.

Sehr schwach! Am 24C3 hat man noch Witze über Websites ohne SSL gemacht. Aber fehlerhaftes SSL finde ich noch schlimmer!

Ich vermute, dass der CCC seine CA selbst betreibt, das kann man anhand der Zertifikatsdetails leicht nachsehen. Adium wiederum benutzt vermutlich einfach den CA-Speicher von OS X – und da steht – wie bei fast allen Browsern & Betriebssystemen diese CA eben nicht drin.

Der CCC kann da vermutlich garnicht so viel dran ändern. Sie müssten
a) viel Geld in die Hand nehmen und Apple überreden, ihre CA als vertrauenswürdig aufzunehmen.
b) ihre CA einstampfen und ihre Zertifikate (oder vielleicht ihre CA als Intermediate) von einer etablierten CA unterschreiben lassen. Also auch viel Geld in die Hand nehmen.

Das Problem ist also hier mehr ein Politisches.

Von GUI-Wegen her schwierig. Adium hat recht – aus seiner Sicht ist das Zertifikat nicht vertrauenswürdig. Du musst also entweder (als Nutzer) dem Zertifikat vertrauen, oder (besser) dem CCC als CA komplett – also jedem Zertifikat, dass der CCC anerkennt.

Whatever… dein blog ist suuuupär. Immer weitermachen