spieleprogrammierer.de - Forum und Wiki zur Spieleprogrammierung und Spieleentwicklung

Doch, natürlich. Genau das kommt ja aus dem Video heraus. Natürlich verschlüsseln. Die Frage ist nur mit welchem Standard, mit welchen Schlüsseln und mit welchen Zertifikaten. Er sagt ja selbst, dass die Schnüffler am Arsch wären, wenn jeder Server per Default ein selbst-signiertes Zertifikat hätte. Aber anstatt das zu tun werden die User abgeschreckt mit "der Herausgeber ist unsicher/unbekannt" - was natürlich unsinnig ist, denn unverschlüsselte Kommunikation mit einem unbekannten Endpunkt ist schlimmer als verschlüsselte Kommunikation mit einem unbekannten Endpunkt. Das ist womöglich sogar sicherer das Zertifikat selbst zu generieren (sofern der RNG strong ist) als es jemandem zu überlassen, den man nicht kennt und der eventuell tatsächlich compromised ist.

@BlueCobold:
Den Private-Key erstellt man sich ja selbst, nur die Signatur kommt von der CA.

Aber auch wenn der Abhörer den Private Key kennt, muss er bei passenden Cipher Suites immer noch eine aktive MITM-Attacke ausführen. Da die NSA die Daten hauptsächlich passiv abhört, können sie nur in wenigen Fällen tatsächlich HTTPS entschlüsseln.

Die Cipher Suites, die ich verwende sind: EECDH+AESGCM EDH+AESGCM EECDH -RC4 EDH -CAMELLIA -SEED !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4

Hab eben in der Firefoxkonsole ne entdeckung gemacht (Siehe Anhang )

Das SSL-Zertifikat hat nur ne SHA1 Signatur. Das ist momentan noch kein Problem, wird aber im Chorme (http://googleonlinesecurity.blogspot.de/…ting-sha-1.html) Schritt für Schritt rutergestuft.

Wenn das Zertifikat im Herbst verlängert wird, kann man dabei vllt. auch gleich den Algorithmus ändern, falls die bei StartCom das anbieten.