[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

RE: [lugbe] Security GAU bei Microsoft



Eigentlich nicht ganz neu die Meldung

allerdings ist jetzt der Update (seit dem 28.3) mit den Patches da. 

Grundsätzlich trauche ich Apples sowieso nicht, ob signiert oder nicht. 

Für mich ist das wieder mal ein Beweis, dass Microsoft nicht sehr viel von
Security versteht, ganz besonders nicht von Crypto Technologie. Der Patch
verhindert ja nicht dass ein fälschlich herausgegebenes Versign Zertifikat
akzeptiert wird. Microsoft hatte aber schlicht weg vergesse zu überprüfen,
dass man ein Zertifikat vor der Akzeptanz auf seine Gültigkeit prüfen
sollte.

Die sofortige Sperre der Zertifikate bei Verisign hatte deshalb absolut
keinen Effekt. Mit dem Patch sollen neu Validiy und CRL überprüft werden.
Naja ich bin gespannt über den Performanceeinbruch.

Der Effekt bei Verisign ist jetzt, dass es noch viel umständlicher ist ein
Zertifikat zu erhalten.
Nein die Prozesse sehen immer noch gleich aus. Da sie jetzt aber teilweise
eingehalten werden, hat Verisign zuwenige Mitarbeiter um die viele Arbeit
auch durchzuführen. 
Ich habe jedenfalls mein Codesigning Zertifikat erneuern müssen und es mit
viel Aufwand (jedesmall mind 20 Min warten am Telefon (USA)) einen Tag vor
dessen Ablauf erhalten. 

Gion