http://groups.google.com/group/mozilla.dev.security.policy/browse_thread/thread/b6493a285ba79998/26fca75f9aeff1dc

Das ist ja mal ultra peinlich. Soviel zur Selbstkontrolle von Open-Source :(

Hmm.. Opera hat V1 davon integriert. Ob dafür auch keiner zuständig ist? ;D

Nein, darüber sollte man eigentlich keine Scherze machen, aber für mich steht das Zertifikatssystem eh auf zu wackligen Beinen.

Das ist ja mal ultra peinlich. Soviel zur Selbstkontrolle von Open-Source :(Verstehe ich nicht. Das ist doch gerade der Beweis, dass die Selbstkontrolle funktioniert. Fehler entdeckt und publiziert. Das ist doch viel besser, als wenn ein nicht kontrolliertes Unternehmen solche Dinge unter den Teppich kehrt und vertuscht.

Hmm.. Opera hat V1 davon integriert. Ob dafür auch keiner zuständig ist? ;D
? gibts bei mir nicht.

I[;7953335']? gibts bei mir nicht.
Verdammt, auf meinem Laptop ists auch nicht. Nur bei meinem Firmen-PC.
Da haben sich noch ein paar mehr dazugemogelt. :eek:

Verstehe ich nicht. Das ist doch gerade der Beweis, dass die Selbstkontrolle funktioniert.
Jain. Das ist viel zu spät aufgefallen.

Genau die gleiche Geschichte wie damals bei dem Debian-Debakel.

Jain. Das ist viel zu spät aufgefallen.

Genau die gleiche Geschichte wie damals bei dem Debian-Debakel.

Nun, sieht eher nach Systemschwäche aus. Das Zertifikat wurde ja von vertrauenswürdiger Seite erstellt und dann anscheinend weiterverkauft (oder was verstehe ich da falsch?), worüber Mozilla ja keine Kontrolle hat - und eine Benachrichtigungspflicht scheint es ja nicht zu geben.

Und Apple hat es anscheinend ja auch erwischt:

I have received email from official representatives of RSA confirming
that RSA did indeed create the "RSA Security 1024 V3" root certificate
that is currently included in NSS (Netscape/Mozilla) and also in Apple's
root cert store.

Im Firefox Extras -> Einstellugen... -> Errweitert -> Verschlüsselung -> Zertifikate anzeigen und wudnern, wem man alles so traut.

mfg

An official representative of RSA has sent me email to confirm that RSA
is still in possession of the private key for the "RSA Security 1024 V3"
root certificate.

RSA has also agreed that the "RSA Security 1024 V3" root certificate
should be removed from NSS.

Kathleen
NSS ist der Zertifikatsverteilerdienst für Mozilla-Anwendungen.

Warum jemand bei RSA erst meinte, es ist nicht ihres und dann ist es doch ein veraltetes von ihnen, bleibt noch offen.

http://groups.google.com/group/mozilla.dev.security.policy/browse_thread/thread/b6493a285ba79998/26fca75f9aeff1dc

Das ist ja mal ultra peinlich. Soviel zur Selbstkontrolle von Open-Source :(

Verwaistes Root-Zertifikat sorgt für Verwirrung
http://www.heise.de/security/meldung/Verwaistes-Root-Zertifikat-sorgt-fuer-Verwirrung-972200.html


Was soll da eigentlich peinlich sein? Ich kann da überhaupt kein Fehlverhalten von Mozilla (oder Apple) erkennen.

Am Anfang war ja noch nicht klar, dass die Herkunft bekannt ist. Nach den neueren Meldungen ist es nicht mehr peinlich.