Thawte E-Mail Zertifikat-Sicherheit- Erstellung mit Firefox?

Du kannst mit TamperData prüfen welche Daten übermittelt werden und diese verändern.

Um mal weit auszuholen: Zertifikatsaussteller gewährleisten i.A. die allgemeine Sicherheit einer Public-Key Infrastruktur und stellen somit die zentralen Institutionen des Vertrauens selber dar, indem sie eine verbindliche dedizierte Zuordnung von vertraulichen Schlüsselpaaren zu Personen, bzw. Unternehmen und Einrichtungen vornehmen (Zertifizierung (B2B-B2C)).

Rechtliche Argumente:
Thawte firmiert in Südafrika. Somit gilt - soweit ich hier richtig informiert bin - bezüglich dieses ausgelagerten Geschäftsmodelles auch kein Rechtshilfeabkommen, bzw. kein DBA-Sachverhalt (Doppelbesteuerungsabkommen) mit der BRD. Mögliche Auskunftersuchen, bzw. Auslieferungsanträge in Strafsachen, seitens der BRD, wären somit wirkungslos. Wirkungslos u.A. auch zu Eurem rechtlichen Nachteil (z.B. durch EMail-Betrugsversuche zu Euren Lasten). Dies könnte sich für Euch (die ihr ja in der BRD rechtlich firmieren) - und zwar in Bezug auf Eure EMail-Sicherheit - u.U. zu einem Nachteil (durch so eine lokale Rechtsoase Thawtes) entwickeln. Sofern Ihr daher bezüglich Eures Geschäftsmodelles auf vertrauenswürdige Signaturen (Zertifikate) angewiesen sein solltet (z.B. über A-Ratings), könnte daher "ein skeptischer Blick" auf den Aussteller solcher Zertifikate - sowohl kundenseitig, wie auch von Eurer Seite aus - von Nöten sein.

Technische Argumente:
Das Prinzip des Web of Trust ist in der Kryptologie das Bestreben, die Echtheit von digitalen Schlüsseln durch ein Netz von gegenseitigen Bestätigungen (Signaturen) der einzelnen Teilnehmer zu sichern. Der private Schlüssel wird somit zwischen zwei kommunikativen Gegenstellen nicht mehr vertraulich generiert, sondern unterliegt - bezüglich seiner Evaluation - einem Kollektivprinzip vieler Anwender. Dies mag - nach meiner Meinung - einerseits der Schlüsselsicherheit (Kommunikationsverschlüsselung) selber dienlich sein - nicht jedoch der Anonymität der einzelnen Gesprächspartner. Dem Schlüssel haften somit personenbezogene Daten an, die mitveröffentlicht werden. Durch die Signaturen anderer Personen, beinhaltet der Schlüssel somit auch eine Liste der Personen, mit denen der Schlüsselinhaber in der Vergangenheit Umgang hatte. Auf einem Schlüsselserver sind diese Daten obendrein öffentlich einsehbar und daher auch automatisiert abrufbar.

Die entsprechenden Schlüssel (private keys) werden unter FF importiert, jedoch erst lokal auf Deinem System generiert. Unter Vista kann es dabei (durch spc-Dateien) - meiner Erfahrung nach - zu Problemen kommen. Serverseitig werden dabei - meiner Ansicht nach - jedoch keine relevanten Daten hochgeladen.

Oliver

Zitat

Die Firefox Programmierer werden dies vermutlich wissen, daher hoffe ich hier auf aufklärende und präzise ANtworten, die bestimmt viele Anwender interessieren...

Dann solltest du dich an die Entwickler wenden:
http://groups.google.com/group/mozilla.dev.apps.firefox/
http://forums.mozillazine.org/
https://bugzilla.mozilla.org/

Allerdings hast du eine entsprechende Antwort im TB-Forum schon bekommen. Es wäre darüber hinaus angebracht zumindest den anderen Thread zu verlinken, wenn du schon cross postings schreibst.

Unabhängig davon wäre es recht skandalös, wenn der private key dabei übertragen wird. Das würde den Ruf der Firma in dem Bereich ruinieren. Nebenbei auch den Ruf von Mozilla, schließlich läuft der Generierungsprozess Client-seitig ab.