Ab dem 18.08.2010 wird unser Hochschulnetz "sicher". Das behaupten zumindest einige Personen hier. Bisher wird der Zugang zum Wlan per DFN-PKI und einem selbst erstelltem Zertifikat der Hochschule geregelt. Mal ganz davon abgesehen, dass Windows Vista/7 User sowieso ihre Probleme haben, in das Netz zu kommen, wird nun angepriesen, dass das Netz sicherer wird. Das 'unsichere' root-Zertifikat der Hochschule wird durch ein neues Zertifikat ausgetauscht.
Und das neue Cert ist kein anderes als:
DAS ROOT-CERT DER DEUTSCHEN TELEKOM!
"Die T-Systems Business Services GmbH kann als Tochterunternehmen der
Deutschen Telekom auf die Konzerneinheit T-Systems Enterprise
Services GmbH und deren Organisationseinheiten zurückgreifen.
Diese betreibt seit August 1994 das hochsichere Trust Center der
Deutschen Telekom, das seit 1996 nach ISO 9002 und seit Januar
2001 nach ISO 9001:2000 zertifiziert ist." [Quelle]
Aha! Die deutsche Telekom ist sicher! Was zum?! ...
Meiner Meinung nach, sollten die endlich TTLS via EAP abschaffen und z.B. PEAP nutzen - und kein unsicheres Zertifikat durch ein pseudosicheres Zertifikat austauschen.
Aber egal. Juhu.
Nun kann die HS meinen Traffic nicht mehr entschlüsseln. Jetzt kann es die Telekom. Was für ein Fortschritt. Bei der HS war mein Loginstream wahrscheinlich sicherer. (Trugschluss; ich dachte, dass der Priv-key gewechselt wurde. Im nachhinein scheint auch mir das natürlich schwachsinnig. Das HS-Cert wurde nur durch die TeleK. unterschriben. Trotzdem unfug. Danke, nullplan. Hatte das geschrieben, bevor ich dich angerufen hatte. x/ )
Ah, endlich mal in nicht ganz so wirr + Verzerrungen... jedenfalls scheinst du hier was zu verwechseln. Die HS hat ein Cert selbst erstellt. Damit ihm vertraut wird, muss eine bekannte Stelle dasselbe auch unterschreiben. Bisher war das die DFN. Jetzt ist es halt die T-Kom. Na gut, aber großartig ändern wird das nix. (Wenn die T-Kom wirklich ihr CA-Cert für eine TTLS-Verbindung rausrücken würde, wären sowohl die Leute aus dem RZ als auch die von der T-Kom dümmer als der Staat erlaubt). Entschlüsselt werden kann dein Traffic nach wie vor nur von der HS.
AntwortenLöschenBTW ist EAP+TTLS keine schlechte Idee. BTW ist TTLS ein Phase-1-Protokoll und PEAP ein Phase-2-Protokoll, wie PAP.
Und die Probleme der Win7-Nutzer gehen nunmal darauf zurück, dass Win7 keinen WPA-Supplicant mitbringt, und die meisten, die mit den WLAN-Karten ausgeliefert werden, können nur Personal WPA, nicht Enterprise. Daran wird auch ein neues Cert nix ändern.
Oder anders ausgedrückt: Es wird viel Geld kosten und nix bringen. Rezession... was ist das?