Thread Perl 5.8.8 und https (13 answers)
Opened by Rocco at 2019-05-08 12:48

haj
 2019-05-09 15:54
#190030 #190030
User since
2015-01-07
132 articles
BenutzerIn
[default_avatar]
2019-05-09T13:23:32 rosti
Das mit dem Vertrauen ist natürlich ein Witz. Weil ja praktisch jeder Spitzbub ein Zertifikat kaufen kann!

Nein, das ist kein Witz, sondern nur eine der Feinheiten, weswegen LWP da einiges tun muß. Es geht nicht nur darum, sich irgendein Zertifikat zu besorgen - die kann man selber machen. Es geht darum, ob ein Spitzbub sich ein Zertifikat für beispielsweise www.perl-community.de kaufen kann, dessen Zertifikatskette bei einem der Wurzelzertifikate verankert ist, denen der Client per Konfiguration vertraut. LWP muss prüfen, ob der Name des Zertifikats (ASN.1) zur URL passt, ob das Zertifikat aktuell gilt oder zurückgezogen wurde, und wer für das Zertifikat gradesteht. Bei www.perl-community.de ist das die Let's Encrypt Authority X3, und ich bin mir einigermaßen sicher, dass diese Authority mir oder Dir kein Zertifikat für die gleiche Domain verkauft.

Es hat schon Fälle gegeben, in denen diese Infrastruktur geknackt wurde, aber dahinter steckt dann nicht irgendein Spitzbub, sondern eine gar nicht so triviale kriminelle Organisation - oder ein Geheimdienst, falls wir den mal nicht in die gleiche Schublade stecken wollen.

View full thread Perl 5.8.8 und https