 Vielen Dank. Schönen Nachmittag. Ich hoffe, ihr da hattet einen schönen Kongress. Wir sind jetzt relativ nah am Ende und es war auch viel Spaß für mich und es ist toll, hier zu sein. Ich bin von der Elektronischen Grenz Foundation und es geht über ein Projekt, das wir seit einer Weile drüber geredet haben in Geheimhaltung. Es ist richtig schön, das zu veröffentlichen und darüber reden zu können und es mit den anderen Teilen können, unsere Ideen, unsere Pläne. Es gibt viele Akronüme in diesem Bereich. Das ist ein sehr kleiner Auswahl davon, die Schildnüste. Und ich möchte es einfach sagen, wenn Leute nicht mit Webseiten und Zertifikaten arbeiten, dann sind das ja die wichtigsten Abkürzungen, die häufig vorkommen. Das ist das, was wir als Sicherheitsschicht über HTTPS benutzen. Und das war SSL. Heutzutage wird TLS benutzt. Das ist aber diese neuen Version, dasselbe für Autocalls. Wenn Sie das über HTTPS machen, dann wird das HTTPS secure oder HTTPS. Und es gibt ein Format für die Zertifikate, wo wir die öffentlichen Schlüsse nehmen. Und das wird X509 benannt. Die Infrastruktur auf die alles aufgebaut ist, nennt sich PGI, der Public Key Infrastruktur, öffentliche Schlüsselinfrastruktur. Und es gibt CA-Zertifikatsaussortitäten, die digitale Zertifikate ausstellen. Ich versuche die anderen nicht zu benutzen. Es ist eine Technologie, die wir für uns als Privacy-Archivikaten wichtig sind. Es ist wichtig, dass viele Leute verschüsseln. Wir starten von einer Idee, wo viele Leute dieses IT-Sicherheit vorklore hatten, wo nur verschüsselt wurde, wenn finanzielle Daten übertragen wurden. Und das ist wirklich komisch, weil Kreditkartennummern nicht so sensitiv sind. Es gibt viele andere Sachen, die viel wichtiger sind als Kreditkartennummern. Aber viele Leute haben für viele Jahre das gemacht, dass diese Technologien nur für HTTPS genommen wird, für Kreditkartennummer. Und ansonsten mehr oder weniger gar nicht. In den letzten Jahren hat die Web-Sellschaft gemacht und gesagt, auch wenn der Benutzernahme eingemeldet wird. Wir müssen das Benutzernahme und das Passwort machen. Und danach, ja, wir müssen auch noch den Authentifizäts-Cookie sichern. Und es wurde mehr und mehr wichtiger. Wir müssen viel weitergehen. Und ich glaube nicht, dass ich diese Leute davon überzeugen muss. Aber wir müssen vielleicht andere Leute davon überzeugen. Wir müssen eine viel stärkere Vision haben, dass die Sachen um unser Roben-Kommunikationsnetzwerke sind, die uns ganze Zeit angreifen. Diese Netzwerke kann man nicht vertrauen. Und wir müssen unsere Gespräche dadurch schützen in vielen Situationen und vielen Angreifern. Es gibt eine große Menge von Gründen, warum wir Netzwerke als unsicher anschauen müssen. Und normales HTTPS sollte nie Kommunikation irgendwie schützen. Es ist komplett unsicher. Es ist alles unverschüsselt. Und jeder entlang des Weges kann es sich anschauen und verändern, Sachen zu fügen. Nur um konkret zu sein. Das ist ein kleines Beispiel. Nicht alle Gründe, aber das ist nur ein kleiner Teil davon. Wir haben Sachen wie Zeit-Tracking und Orts-Tracking. Es könnte ein Cookie sein. Das müsste nur ein Authentic-Z Cookie sein oder nur ein Nachverfolgungs-Cookie. Und wenn irgendjemand anderes den Cookie sehen kann, kann es auch aus anderen Gründen benutzt werden. Zum Beispiel, um sich als für dich auszugeben. Oder um einfach nur hinzukriegen, ja, das ist die Person. Und wir wissen zwischendurch, dass viele Infrastruktur gebaut wird, um diese Cookies auch von großen Organisationen gemacht wird. Wenn wir wissen, wer diese Person war, und wenn wir dieses Cookie sehen, zu dieser Seite, dann wissen wir, wer die Person ist. Wir können dieses Gerät automatisch erkennen. Es gibt auch Software runterladen. Ich habe vorhin vor einem wichtigen Werkzeug gehört, die Installationsmedien für Linux-Sributionen gemacht. Man benutzt dieses Werkzeug, um staatbare USB-Medien zu machen. Und die Frage war, wie kommen Sie in diese Bilder? Und die Antwort ist, es gibt eine hart kodierte List von 256 URLs, und von denen können diese Bilder heruntergeladen werden. Je nachdem, welches Betriebssystem man herunter benutzen will, und in welcher Version. Keins dieser URLs ist eine sichere Quelle. Alle sind HTTP oder FDP her, und keine Verifikation der Summe oder der ... Das heißt, man macht ein Installationsmedium für ein Betriebssystem, und sie da ein Betriebssystem runter bei eine komplett unsichere Verbindung. Und man installiert nicht unbedingt das, was man wollte, sondern das, was alle anderen auf dem Netzwerk wollten, dass du installierst. Und das ist sehr häufig in vielen Stellen bei Software. Software wird unverschlüsselt heruntergeladen, und die Software wird einfach so zeptiert. Die Privatsphäre der Leser ist auch sehr wichtig. Viele Webseiten wie Nachrichten sagen, alle Inhalt unserer Webseite ist öffentlich. Es gibt nichts Geheimes über die Webseite. Wir brauchen keinen HTTPS. Die Sicherheit, die Konfidenzialität ist nicht, dass der Inhalt geheim ist. Es ist, dass Geheim gehalten werden soll, weiches Inhalt der Leser lesen möchte. Bücherei, Mitarbeiter wissen das sehr gut. Jedes Buch in der Bücherei ist natürlich komplett öffentlich. Jeder kann reinkommen und den Inhalt des Buches lesen. Es ist kein Geheim, versucht diese Bücherei Bücher zu verschüssen. Aber sie wissen, dass sie die Zusammenarbeit von dem Buch und dem Leser voneinander unterscheiden müssen. Sie dürfen nicht weiter sagen, wer was liest. Bücherei, Mitarbeiter haben das schon seit einer langen Seite gesagt. Jeder Teil einer Webseite könnte öffentlich sein, aber die Leser müssen geschützt werden. Das nicht jeder weiß, was sie gelesen haben auf der Webseite. Ein anderer wichtiger Punkt ist, dass meine Inhalte vom Netzwerk kontentiert werden. Wie zum Beispiel das Golden Shield-Projekt in China. Wenn man eine Webseite geht, wenn man bestimmte Schlüsselwörter hat, dann wird die Verbindung einfach unterbrochen. Und mehr und mehr Seiten bauen solche Infrastruktur direkt ins Netzwerk rein. Und um die Erzensorship zu umgehen, und dass niemand sehen kann, was betragen wird, damit jemand kommuniziert. Und in letzter Zeit hören wir mehr über globale Leute, die zusätzliche Information und Nachrichten oder Erwerbung in die Verbindung übertragen. Also, diese Leute machen einfach Kram in der normale Verbindung. Oder der Mobil-Netzbetreiber will helfen und packt einfach einen Header. Der zeigt, wer ihr sagt. Und das ist diese Manipulation von diesen ganzen Weg, zwischen Überwachung oder kommerziellen Gründen. Also, es gibt viele Leute, die bauen tatsächlich solche Infrastruktur, um diese Sachen zu manipulieren und diese Flüsse zu manipulieren. Und wir brauchen eine Vision von einem sicheren Web, der die Nutzern dagegen schützen kann. Es gibt viele Barrieren, um das zu nutzen. Warum nutzt, nutzt ihr das nicht? Warum habt ihr keine Verschlüsselung auf Ihrer Seite? Und es ist, manche Leute sagen, es ist ein Wahllangsam. Es ist, es wäre langsam die Verbindung. Oder es braucht mehr Ressourcen, CPU. Für manche Leute, die eine Konfiguration mit Load Balancer und so weiter, es gibt tatsächlich weitere Fragen über Keymanagement. Aber die Sachen, die man immer wieder hört, meistens, ist die Schwierigkeit und der Kost einen und einen und einen Zertifikat tatsächlich aktuell zu halten, dass er nicht ausläuft, damit den Browser das ausnutzen kann. Und die Leute, die wissen, was das ist, ein Kryptokies, die wissen, was ein Web-Server ist und was ein Zertifikat ist und verstehen, warum sie das brauchen. Leute, die das alles verstehen, brauchen immer noch eine Stunde, um überhaupt diesen Prozess durchzugehen, um das auszuhollen. Natürlich, wenn man das jeden Tag macht, dann ist es familiär und man geht schneller. Aber man hört ständig von CIS Admins, die das nur einmal im Jahr machen und die müssen irgendwie online gucken, was, wie sie das durchmachen und diesen ganzen Arbeit. Und die müssen mit den Syntagsarbeiten von den Werkzeugen und Dash No Out. Manche werden das verstehen. Ja, Dash No Out oder mindestens Dash No Out. Das ist ein kompletzen Prozess, das die Leute nicht machen wollen. Und natürlich ist das auch eine Sache des Geldes. Und auch dann, natürlich ein Jahr später, läuft der Zertifikat, läuft aus und die Leute werden Ferien haben oder man wird neue Subdomain haben und das nicht in der Zert ist. Und es gibt ziemlich viele Schwierigkeiten, administrative Schwierigkeiten, das ganze laufend zu erhalten und das ausrollen und wissen, welche Schlüssel für welche Seite ist oder für Seiten und diese Webservice-Konfiguration. Und wir glauben, dass allgemein das ist die Schwierigkeit, die größte Barriere für eine breite Ausrollen von dem ganzen Sachen. Und das ist etwas, das wir eliminieren müssen und deswegen haben wir diesen Projekt Let's Encrypt geschrieben und wir haben angefangen mit der University of Michigan zu schreiben und wir haben das vor drei Jahren gestartet und arbeiten mit der Idee, er soll und muss ein komplett automatisch gestrittenes System geben, der schnell, frei, also gratis, die Zertifikate erstellen kann. Und es gibt andere, die das auch genauso machen, parallel. Um stärker zu sein, haben wir uns da zusammengeführt, um einen Projekt zu haben. Und wir wollen diesen Vision wahrmachen. Und wir glauben auch, dass es sollte einfach, wir sollten auch besser sein als die derzeitigen Zertifical Authorities in jedem möglichen Weg. Wir sollten einfacher, wir sollten billiger und wir sollten sicherer sein. Und da, wie sind wir da starten? Wir haben kommerziale Partner wie Akamai, Sysco und Intrast und damit diese Zertifikate automatisch von Browsers akzeptiert werden. So, just to be clear about that point, thanks. Just to be clear about that point, klar zu sein, das ist die Frage, die wir am meisten bekommen. Müssen die User irgendwas installieren in deren Browser und die Antwort ist nein. Die User werden unsere CA sofort out of the box akzeptieren. Und die Leute, die wissen über Intermediate CA, also in Zertifical Authority kann seinen Macht geben, in dem es einen Zertifical erstellt, der selber unterschreiben kann und selber Zertificate unterschreiben darf. Und es gibt sehr viele Entitäten, die hatten diesen, dessen Macht delegiert wurde. Normalerweise, wenn man ein Zertifikat für ein Website, es ist fast immer unterschrieben von einem Immediate, von einem Intermediate zwischen Zertifikat-Autorität. Und bei uns wird das alles unterschrieben von IDENTRUST. Die werden uns diese Macht delegieren, als Zertifikat-Autorität zu arbeiten. Deswegen muss nichts installieren werden. Es gibt unterschiedliche Versionen von Verifikationen, die Zertifikatsautorität überprüfen. Unterschiedliche Inhalte. Abhängig davon, welche Information im Zertifikat steht. Die redigste Konfiguration ist, dass man Domain-Variation hat. Die Zertifikationsautorität sagt, ich habe jetzt überprüft, dass der hier in der Zertifikat erfordert hat, ist diesen Domain-Name kontrolliert. Und Domain-Variation sagt eindeutig, nicht, wer der Person ist. Sie sagen, es kümmert sich überhaupt nicht. Sie sagen nicht, dass es diese Organisation oder diese Organisation in irgendeiner Stadt sagt, wir wissen das alles nicht, aber dieser Person hat diese Domain-Name kontrolliert. Es gibt noch andere Formen von Medikationen, die Sie machen im Private Key-Outage, z.B. welche Organisation das ist oder erweiterte Authentifikation. Sie müssen sagen, wir gehen hin und überprüfen, welche Person diese Zertifikat überprüft hat. Wir machen diese ganzen Zertifikat, dass diese Person das gemacht hat. Eine Erweiterung für Domain-Names zeigt, dass man die Kontrolle über diese Domain hat. Glauben wir, dass wir das Zertifikatsautorität mit einem sehr einfachen Schelzskript ersetzen können. Okay, das könnte es viele regeln. Das Schelzskript darf nicht so klein sein. Und es könnte auch in Go geschrieben werden müssen. Aber wir müssen die ganzen Industriestandards unterstützen, damit wir eine Zertifikat-Autorität sein dürfen. Und wir müssen ein Audit haben. Wir müssen zeigen, was unsere Prozedere sind. Wir müssen zeigen, was unsere Regeln sind. Und wir versuchen im Moment mit den ganzen Aspekten zu machen. Aber der Prozess kann komplett automatisiert werden für die meisten Felder. Das kann für eine Maschine gemacht werden. Da muss kein Mensch dabei sein. Und das, was wir machen. So, um ein bisschen weiter zu zeigen, was wir machen, Sie haben Ihren Kleint, Ihren Nutzer. Das ist wie mit dem Windows-System. Der Server ist der Kleint. Das ist auch ein bisschen interessant. Okay, wir haben den Lab-Server, der Letzendript-Kli. Der Nutzer ist, der zur Zertifikationsausserität zu greifen mit einer Firma, die wir hoffentlich im Betriebssystem eingebaut werden kann. Oder vom Betriebsprovider eingebaut sein. Und wir arbeiten einen Protokoll, nur, dass sich authentifiziert ist, und die produzieren und schauen, was gemacht werden muss. Um das zu vereinfachen, wir sagen irgendwie, der Kleint sagt, ich kontrolliere diese Namen und ich möchte ein Zertifikat dafür. Der Server sagt, okay, um das zu beweisen, solltest du das hier machen. Und der Kleint sagt, okay, habe ich gemacht? Hier ist der Beweis, dass ich das gemacht habe. Und der Server sagt, okay, hier ist der Zertifikat. Und im normalen Fall sollte das so einfach sein. ACME ist ein JavaScript-Objection, basiert des Protokolls. Und das wurde von Richard Barnes von Mozilla entwickelt. Und es geht zu jedem dieser Schritte, dieses Prozesse und Zertifikats auszustellen. Okay. Die ist die Organisation. Wir haben eine Kalifornien nicht körperiert, die Internet Security Research Group, oder die S-8-C-S-R-G. Und sie arbeiten mit denen für die ganzen Audits und die anderen Authenticitäten für eine CA zusammen. Und wir vermuten, dass wir diese Möglichkeit haben, Zertifikate für die Öffentlichkeit im Juni 2015 zu machen. Wir haben im Moment ein Technologie Preview. Sie können seinen Quellcode roterladen, Sie können seinen Quellcode erweitern, aber Moment, um zu warnen, Zertifikate, die Sie bei unseren Quellcodes bekommen, werden nicht vertraut werden. Wir können Moment-Nur-Test-Zertifikate ausstellen. Aber bitte probieren Sie unsere Technologie aus. Ich möchte etwas sagen mit diesen Variationsmethoden, die Sie der DVS-NI benutzen. Wir glauben, dass DVS-I stärker ist als viele andere Zertifikations-Autoritäten im Moment benutzen. Die Idee ist, dass Sie Verifikat-Stand fragt, dass der versucht, ein selbst-verifikiertes Zertifikat zu geben. Der Prüfer macht dann eine HTTPS-Verbindung zu dem Server, von dem der das haben möchte und schaut, dass der Selbstzertifikat dort ist und die entsprechende Information hat. Wenn Sie einen startenden HTTPS-Server hat, muss das nicht unbedingt Probleme damit geben. Sie müssen nicht ihr Zertifikat damit austauschen, weil wir ein anderes Mechanismus haben, ein Zervername-Mechanismus. Wenn wir möchten kommunizieren, dann fragen wir einen unbekannten oder nicht benutzten domain name. Es wird uns sonst nicht genutzt. Wenn Sie eine laufende Seite haben, werden wir mit Ihrer Seite nicht interferen und normal weiter die Verifikationen parallel dazu durchführen. Und die Grundlage ist, dass du die Kontrolle über diesen Web-Server hast. Beweist, dass sie die Möglichkeit haben, auf diesen Web-Server zu reconfigurieren, der auf dieser Domain arbeitet, sodass ein neues Zertifikat ausgestellt werden kann. Wir glauben, dass das eine sehr stärkere Verifikations-Methode ist und das ist unsere hauptsächliche Methode, diese Verifikation durchzuführen. Okay, eine andere Sache ist, Benutzer müssen das nicht machen. Wir haben eine Software, die erst alles durchführt. Und wir glauben, dass die Benutzer-Software sehr einfach ist. Und das ist eine wichtige Bestandteil dieser Idee. Man sollte maximal so kompliziert sein, das Zertifikat zu bekommen. Und es sollte, Applaus, es sollte weniger als eine Minute dauern, um das Zertifikat zu bekommen und das zu installieren. Ich möchte Ihnen kurz ein Video zeigen. Ich möchte Ihnen auch ein Video zeigen, das vorbereitet wurde von einem Kollegen von mir in der Universität von Michigan, die kleine Applikation hauptsächlich geschrieben hat. Ich versuche weiter zu sprechen, und schaue, dass ich mithalte mit ihm. Das ist eine Video vom Programm, die vor einer kurzen Version war. Sie haben vielleicht eine Webseite, und die Webseite hat kein HTTPS. Wenn Sie in der Webseite gehen, gibt es einen Fehler. Das Entwürdige hätte das Zertifikat, das überhaupt kein Zertifikat. Es gibt also diese Zertifikat, das ist ein Wahn, und das ist okay. Es überprüft die Apache-Werlifikation, schaut, welche virtuellen Hosts man hat. Man kann für alle virtuellen Hosts einen Zertifikat holen, und dann sagt, okay, ich mache einen Schlüssel, ich habe eine Zertifikatsanfrage, und ich verbinde mit dem Server, und wer habe ich das Zertifikat installiert? Also es ist am Ende. Sie konfiguriert Apache und sagt, ob Sie alle HTTPS-Seiten und weitergeleiten wollen. Oder nicht? Okay, James macht das nochmal, und sagt, wenn Sie wissen, was Sie genau wollen, dann gibt es einen nicht interaktiven Modus. Und dann muss man nicht das Einzelnein weisen. Dann geben. Entschuldigung? Ja. Er möchte ein Zertifikat für eine Verschlüsselung zum Beispiel der Demo, und er macht den Schlüssel, er macht den Apache, und das ist ordentlich weitergeleitet. Das heißt, wenn Sie die Seite neu starten, dann wird das Automatisch-Seiten-DPS weitergeleitet. Und so, das hier funktioniert alles, wenn der Kleint die Konfigurationsdateien verändern kann. Das ist das, das ist das, das ist das, dass die Konfigurationsdateien verändern können. Wir versuchen immer noch daran, dass so einfach zu machen, egal, welches Software benutzt wird. Ich arbeite auch an einer standeneinstehenden Version, die nur das Zertifikat herunterbekommt und ein Datei speichert. 10 Server, die das drauf installieren wollen, das nicht unterstützt wird. Um für automatisierte Konfiguration einfach nur das Zertifikat herunterladen kann und dann kann man damit machen, was man möchte. Und wir werden noch einen alleinstehenden Modus sagen, die, wo die Konfigurationsdateien nicht vom Automatisch verändert. Aber wenn sie bei Autofindikation verändert, dann gibt es ein Backup-Mechanismus und Drawback-Mechanismus, in der es überprüft. Das heißt, es wird nicht die Konfigurationsdateien ändern, wenn es einen Fehler gibt. Dann wird die halten bleiben. Und wir schauen viel, dass es sicher wird, das Zertifikat sicherstähmt sicher. Es gibt viele Leute, die darauf arbeiten, darüber, wie früher die Sicherheitsausserlitäten sind, wo die HTTPS Fehler liegen. Wir wissen sehr, dass es genau viele Risiken gibt, dass wir falsche Zertifikate ausgeben oder dass Zertifikatausserlitäten reingetrickt werden. Oder dass man irgendjemand, die ihnen eine Zertifikat ausstellt, dass man sie verpflichten muss, oder dass sie gehackt werden oder dass der Schlüssel gestraut wird. Und all diese Sachen haben wir im Kopf. Wir versuchen, diese Zertifikate zu minimieren. Sondern wir glauben, dass sie eine sehr große Pflicht ist. Wir wollen damit sehr vorsichtig umgehen. Wir haben das Ansichtbarkeit sehr wichtiges Teil in diesem System sein muss. Wir werden wahrscheinlich etwas machen, was sehr offensichtlich ist. Alle Zertifikat werden veröffentlicht. Und wir sagen, wenn das Zertifikat nicht veröffentlicht wurde öffentlich, dann sollte es nicht akzeptiert werden. Und es sind andere Mechanismen, an denen wir auch arbeiten, in einem anderen Bereich, der es sichtbar wird. Warum haben wir dieses Zertifikat erstellt? Wer sagen diese Zertifikate? Wir versuchen auch auszukriegen, Dachen zu zertifizieren. Das sollte sagen, hey, das ist etwas, das sie nicht zertifizieren haben sollen. Das ist, wenn ein Zertifikat schon existiert für eine bestimmte Seite, das immer noch gültig ist. Und wir sagen, wir machen kein automatischer Zertifikat für dieses Domain. Außer der Seite kann sagen, hey, ich habe den privaten Schlüssel des extrallen Zertifikats, und wenn es sagt, okay, das hat die DPS-Seite da draußen, die im Moment funktioniert, dann werden wir nicht nur ein neues Zertifikat erstellen für irgendjemanden, sondern nur für einen, der den privaten Schlüssel kontrolliert. Und es sind auch andere Mechanismen, die wir versuchen können. Hey, wir wollen nie ein Zertifikat von eurer zu haben, und wir werden das natürlich unterstützen. Wir sind sehr wichtig, dass wir dieses Zertifikat nicht machen, und dass wir keine falschen Zertifikate ausstellen. Wir hoffen, dass wir sehr weit integriert sind, was eine sehr normale Sache ist, die überall funktioniert. Und wir würden gerne in jedem Zerbetriebssystem ein System sein. Wir möchten in jedem Web-Server-Applikation drin sein. Wir würden gerne mit jedem Hosting-Plattform drin sein. Wir würden gerne, wenn Sie irgendwo einen Hosting-Provider haben, dann gibt der Hosting-Provider Ihnen einen einfachen Klick oder gar keinen Klick-Mechanismus, wo Sie ein, weil dieses Zertifikat von uns bekommen. Und, wenn Sie das Protokoll ist, offen, und wir versuchen es zu standardisieren, Sie können das Protokoll in der eigenen Software machen, dass Sie auch einen Zertifikat bekommen, ohne unsere Software zu benutzen. Oder wenn Sie für einen Hosting-Provider arbeiten und Sie irgendeine Person nicht mögen, oder können Sie Ihren eigenen Software schreiben. Sie können machen, was Sie wollen. Sie müssen nicht mit uns arbeiten. Sie müssen keine Verbindung mit uns aufnehmen. Sie können ganz einfach das Protokoll mit uns sprechen. Und wir hoffen, dass wir das machen werden. Wenn Sie eine Organisation haben, die das wichtig für uns ist, dann haben wir gerne finanzielle Sponsorship, aber das ist keine Anforderung, mit uns zu integrieren zu sein. Es ist ein Etwas, dass Sie machen können, dass Sie Intellectualität unterstützen. Okay, das ist, was ich machen wollte. Ich möchte sagen, dass es sind die Leute, die daran gearbeitet haben, an den kommerziellen Checks von der EFF oder von der Universität Crop Mission oder von Mozilla. Und während das Projekt sich entwickelt hat, haben wir noch mehr Leute daran arbeiten und sogar ein paar Freiwillige von draußen, die anderen Aspekten daran arbeiten. Die ist wundersperrt zusammenarbeitet und Sie können unseren Quellkund anschauen, weiterarbeiten, testen, Anmerkungen anzugeben. Und es wäre richtig toll, wenn Sie daran mitarbeiten werden. Und ich glaube, wir haben noch ein bisschen Zeit. Ich dachte, es wäre nur eine halbe Stunde. Aber ich glaube, wir haben schon Fragen über diesen Projekt von daher. Ja, ich dachte, ihr werdet ein bisschen langer reden. Aber danke. Ich glaube, das sind ziemlich viele Fragen. Also das ist vielleicht eine gute Sache, dass es so viel Zeit gibt. Gibt es eine Frage aus dem Internet? Okay, dann wir starten mit dem Internet. Okay, erste Frage. Funktioniert es nur mit Apache? Okay, ich weiß nicht, was Sie meinen. Das arbeitet, funktioniert damit. Also, wenn man das sieht, was wir im Video machen, das ist zertifikat runterlädt und einstellt automatisch. In der aktuellen Version haben wir nur Apache, aber keine Engen gebaut im Moment. In dieser Art und Weise. Sofern, heute können Sie das so automatisiert nur mit Apache machen. Ja, arbeiten daran, dass es mit Engine X auch funktioniert und mit möglichst vielen anderen Servern. Also, wenn Sie da helfen können, wird es sehr gerne. Also es gibt keinen technischen Grund, weshalb es mit irgendetwas anderem nicht funktioniert. Aber es gibt einen Grund, dass der Web-Server dementsprechend rekonfiguriert wird. Der wird für jeden Web-Server unterschiedlich sein, das Web-Server-Programm. Bevor wir da weitermachen, ich sehe, die Leute sitzen auch. Aber es gibt Leute, die ... Wenn ihr gehen müsst, dann bitte nicht reden und relativ ruhig sein. So, und jetzt zu einem Fragen. Mikro Nummer 1. Ja, bist du? Okay. Also, die erste, meine Frage. Gibt es eine Möglichkeit, einen Zertifikat zu revoke, also Absagen abzündigen? Und was irgendwas über Arbeit? Und was sind Ihre kommerziellen Auswirkungen? Ihre Arbeit? Ja, das ist jetzt Demo-Video abgebrochen habe. Vielleicht mache ich das gerade nochmal zurück, wäre ich nicht darüber geredet. Und das nächste Ding, das im Video passiert, ist den Letz-im-Cript-Dash-Dash-Zerückrufen. Das arbeitet darüber, wie das Zurückrufen sogar schon eingebaut ist. Zurückrufen ist genauso schnell wie das Ausstellen. Vielleicht ist es ein bisschen schwer, wenn wir überhaupt nicht testen. Wir mussten nur beweisen, dass man kriptografisch das Zertifikat kontrollieren. Dann kann man es zurückrufen. Zurückrufen ist sogar schon implementiert. Das ist natürlich ein wichtiger Bestandteil der öffentlichen Key-Infrastruktur. Öffentlichen Schlüsselinfrastruktur. Ich habe, glaube ich, davon niemandem gehört, dass die Zertifikationen und Sorritäten nicht gehört. Irgendjemand hat auf einer öffentlichen Mailinglist beschrieben, auf einer Öffentlichen Richtung. Wahrscheinlich werden sie den ganzen Industrie-Regeln folgen. Das ist bisher das einzige Kommentar von einer Zertifikationssorität. Vielen Dank, Mikrofon 2. Coole Sache. Ich will es sehen. Was sind die Regeln für die anderen Partner? Was sind die Regeln für die anderen Partner? Agnesisco. Die Hauptsache ist, dass sie finanzielle Unterstützung geben. Ich hoffe, dass sie es auch technisch benutzbar finden oder hilfreich, dass ihre Kunden hilft. Aber im Moment, dass nur Geld oder dass finanziell einfach passieren kann. Da sollten mehr Leute machen. Mikrofon 4, kann ich ein Zertifikat erstellen, dass nur für ein paar Tage, dass nur für ein paar Tage gültig ist, damit ich irgendwie diesen ganzen Revocation-Kram vermeiden kann? Wir haben viele Leute, die sagen, dass es eine Alternative zu Rückrufmethoden gibt. Das ist noch ein neues Akronym. Es gibt sehr viele Schwierigkeiten, wie Browser das überprüfen sollen, ob ein Zertifikat das ausgestellt wurde und immer noch gültig ist. Und ein Mechanismus wurde dafür erstellt, aber das funktioniert nicht besonders gut. Dass ein Attack angreifbarer könnte, einfach umgehen. Und ein Alternative könnte sein, sehr kurz gültige Zertifikate auszustellen. Das könnte deutlich einfacher sein mit unserer Technologie. Wenn wir die Möglichkeit haben, ein neues Zertifikat zu installieren in die Konfiguration häufig neu zu installieren. Wir können automatisierte Erneuerungen und Updating alsch möglichen. Das könnte gemacht werden. Aber wir haben noch nicht beschlossen, wie weit wir das in unserem System erlauben. Also kann ich die Frage noch nicht wirklich beantworten. Es ist etwas, was wir sehr interessant finden. Weiterhin mit dem Internet. Gibt es einen Plan für andere Zertifikate als TLS, wie zum Beispiel SSH oder zum Beispiel, um PKI zu machen mit SSH? Ich glaube nicht, dass wir das sonderlich schnell machen können. Dass wir Web-Private-Key-Infrastruktur machen können. Vielleicht, wenn das ordentlich funktioniert und gut funktioniert, und wir glauben, dass es sein werden wird, dann wird RSA gerne überprüfen, ob man andere Teile damit überbrücken können. Aber das hier ist unser erster Testfall. Und das, wo wir anfangen. Dann gehen wir zu den drei. Ich bin nicht sicher, ob ihr das schon wisst, aber das World Wide Web-Konsortium Technical Architecture Gruppe schreiben gerade eine Studie über HTTPS. Und findet ihr solche Dokumente interessant und arbeitet ihr mit dem? Wir sind sehr glücklich, dass wir mit ihnen zusammenarbeiten können. Diese Rekommendation zu machen. Wir finden, dass sie sehr gültig sind und rechtzeitig sind. Ich weiß nicht, was ich sonst noch sagen soll, aber ich finde es gut, dass sie das so machen. Ich finde es gut, dass viele Leute im Internetstandard-Kommunität sagen, dass Kriptografie eine wichtige Bestandteil des Internetstandards werden soll und auch der Technologiestandard. Und nicht, dass man was designen, dann macht man optionale Kriptografie-Version, ein paar Jahre später dazu macht, das wäre heute ein Teil von jedem Netzwerk-Protokoll sein. Von Anfang an. Ich glaube, die Leute hier sind damit einverstanden. Okay, Nummer 6. Zuerst vielen Dank. Wir sind super glücklich über so was. Wir, diese erste Version, auch Zertifikate für Nicht-Web-TLS unterstützen, wie XMPP oder SMTP. Ja, wir haben darüber geredet. Es scheint, dass im Moment in den meisten TLS-Implementationen dasselbe Zertifikat akzeptiert wird für alle Anweisungen. Das heißt, das Subjekt entity ist ein Domainname und nicht unbedingt das Protokoll sein muss. Nur für ein Protokoll bestimmt sein. Für ein Protokoll soll es, Sicherheitsargumente, aber es ist nicht, dass Sie haben die Möglichkeit, dass Zertifikat das für ein Web-Server in nonpenaltem Weise automatically gemacht wurde und für ein XMPP-Server benutzen oder für ein MailServer benutzen. Wir erwarten, dass Leute das machen können, wenn jemand ein Patch da ist, für Leute, die nur ein XMPP Server benutzen, dass sie den Sentinel-Plant ausführen, der temporär einen Prozessflug läuft, der einen Zertifikat ausgestellt hat und das Zertifikat wird dann in den Datei gespeichert, der Systematöricer interessiert dann auch woanders einen anderen Service einführen. Wenn Leute das Prozess automatisierter machen, bitte helfen sie. Okay, thank you for the talk. Und werden Wildcards und Multidomennamen Zertifikaten unterstützen? Okay, für Zertifikate unterschiedliche Domainnames, ja, machen wir und es funktioniert sehr gut. Sie fragen mal alle Domainnames, die sie wollen, ihr habt ein Zertifikat und das überprüft alle davon und wir haben ein paar zusätzliche Funktionen für Leute, die vermuten, dass Zertifikate neu erstellt werden, mit mehr oder weniger Namen in der Zukunft. Man gibt es technische Methode, diese Zertifikation zu erneuern, dass man nicht jedes Mal ein Zertifikat Neues machen kann. Wildcard-Zertifikate ist ein bisschen komplizierter. Wir wissen nicht, wie die Weltkreditationen, die wir haben, um die Ökokationen und die sinnvoll sind, um ein Wildcard-Zertifikat machen können. Das ist eine Frage, die sehr häufig aufkam und ich glaube, dass die Antwort dazu ist. Im Moment wissen wir nicht, wie man das machen. Sie werden was im Moment nicht machen. Wenn irgendjemand ein Mechanismus dafür vorschlagen möchte, über den wir das sicher machen können, dann werden wir das zumindest nicht überlegen. Was eine Person gesagt hat, wenn wir ein Zertifikat neu ausstellen können, in weniger als einer Minute mit einer unterschiedlichen Namen in der Ausfahrt, ist das Nötigkeit eines Wildcard-Zertifikaten notwendig. Das wird nicht mehr notwendig, wenn man sagt, oh, ich habe einen neuen virtuellen Server und dann mache ich in 30 Sekunden den noch zu meinem Zertifikat. Das ist kein Problem. Er ist halt jetzt ein Skala. Er hat einen Standard hergestellt, die ein NSA-Backdoor also Glück enthalten hat. Ich kenne den Report und ich weiß nicht, wie das Details, wie das passiert, sind. Aber Eric hat, arbeitet sehr aktiv. Die Regel, warum jemand das gefragt hat, der Eric ist etwas, der mittag angearbeitet hat. Und Eric ist jemand, der sehr aktiv im Internetstandards ist. Er editiert beim TLS Standard und der TLS Arbeitsgruppe und er hat viele Erfahrungen damit mit den ganzen Internetstandardsprozessen. Also ich weiß nicht, wie das passiert ist, aber ich glaube, dass er das Dokument editiert hat, als eine Regel in seinem TLS Arbeitsgruppe und nicht, dass er da gedacht hat, dass ein gutes Dokument war und dass jeder die benutzen sollte. Genau wie viele andere Leute mit Standardisierungssoftware arbeiten, in welchen Namen da vielen Sachen. Nicht persönlich jeden Standard gemacht hat, aber der viele Standards ausgeführt hat, öffentlich. Wie? Wie nutzt, also wie zeigt das zusammen mit die Nutzung von DNS-Strativikaten und könnte es irgendwann mal kommen in ein paar Jahren oder? Okay, also viele Leute sagten, kryptografische Schüsse in DNS zu machen und viele Mechanismen existieren dafür, z.B. die Schulen, wie man darüber nachdenkt, ob man die Zideifikationsautoritäten mit Domainname-Sicherheit Schüsse ersetzen sollte. Oder ob man es benutzt, um zu limitieren, ob es eine additive oder eine zusätzliche Methodik ist, um zu überprüfen, dass die Methodik richtig ist. Wir haben im Moment keinen technischen Plan, wie das funktionieren soll. Und es ist offensichtlich eine wichtige Entwicklung, aber wenn die Domainname-Sech-Mechanismus, die relevant sind, um Ausführungsdateien zu machen, dann wollen wir das wissen und wollen wir da als Zideifikationsaussurität weiter daran arbeiten. Vielen Dank für die Arbeit. Ich mag's sehr gern. Komplett automatisierten Systemen haben meistens eine Tendenz schlecht, wenn sie ausfallen und ihr nehmt das Komplettausnahme. Seid ihr sicher, dass ihr einen wirklich schweren Fehler vermeiden könnt? Okay, unterschiedliche Leute haben unterschiedliche Fehler-Modi. Also es gibt den Fehler-Modus, ein privater Schüsse der Zertifikationsaussurität falsch ist oder irgendjemand bekommt ein falsches Zertifikat. Ich glaube, dass existierende Zertifikationsaussuritäten einen falschen Zertifikat ausstellen können, wenn jemand die Seite misshinkriegt. Weil jemand die Seite hinkriegt, dann kann man genau diesen Zertifikationsstabisch denn zu machen, als sei der offenzielle Betrieb bei der Seite. Und das ist heutzutage auch da. Ich glaube, dass wir uns gut fühlen, dass wir diese Risiken nicht schlimmer machen. Wenn man einen Zertifikationsaussurität machen kann, dann kann man die irgendeine Namen des Falschers machen, auch wenn es keine vorherigen Kommunikation gibt. Es gibt keine prioritäre Relationship mit Google, aber sie haben trotzdem für Google einen Zertifikat veröffentlicht. Es gibt immer dieses schwächste Linkproblem. Und wir glauben, dass wir nicht glauben, dass unser Design irgendwie besser macht. Es wird stärker als aktuell. Und ihr macht das deutlich einfacher, einen Zertifikat auszuholen und zu bekommen. Aber ihr macht auch etwas für den Done-Record oder die Flex zu erstellen und das Kopieren in der Nameserver. Ich glaube, das wäre eine sehr gute Idee. Es ist offen nicht der selbe Server, der Web-Server und der Domain-Nameserver sind unterschiedliche Server. Und Sie vermuten, dass Sie gerade nur die Konfigurationen, die jemand da rein importieren, eine andere Maschine machen können. Ich denke, das ist eine tolle Idee. Und es wäre gut, wenn jemand Entpetscher verschreiben würde. Dann nochmal vom Internet. Gibt es eine Obergrenze an Anzahl an Zertifikatsanfragen für einen bestimmten Domain? Weiß nicht, ob Sie die Fragen können, aber wer es verifizieren möchte. Aber ist die Frage, wie oft kann man ein neues Zertifikat fragen für einen bestimmten Domain oder in einem Zeitbereich? Also, ich glaube nicht, dass wir irgendwas darüber bestimmt haben. Ich glaube, dass Jared Austers da mitmachen würden und diese Freitatifikaten verteilen würde. Ich habe den Anfang der Frage verstattet. Ja, wir würden sehr gerne machen, dass Sie das selber machen. Und wir würden sehr gut finden, wenn Sie das hoffentlich und guter Benutzung von meinen Servicen, wenn die mit uns integrieren. Wir würden sehr gerne mit irgendwelchen oder allen da sprechen. Oder wenn wir eine Überraschung haben, wenn Sie starten, dass es dann schon bei einem funktioniert. Der beste Fall ist, dass Sie uns sagen. Und das zweite beste Fall ist, dass wir starten und ein Account machen. Dann kriegt man, ah, da ist ein neues Zertifikat. Es scheint, dass jemand das eingebaut hätte. Ich sehe, dass du sehr viel zeigst. Wir müssen warten. Nr. 6. Okay, dann Nr. 5. Okay, Nr. 5. Danke. Erste Frage. Ja, ihr könnt Web-Server-Dertifikaten nutzen für Mail-Server und erste Frage. Wie sieht die Finanzierung über eine längere Zeit werdet ihr Spenden akzeptieren und werdet ihr die Infrastruktur der Zertifikat-Autorität veröffentlichen, also dokumentieren und veröffentlichen? Zweite Frage. Ich weiß nicht, welcher Teil der Infrastruktur öffentlich dokumentiert werden. Die Zertifikats-Autorität könnte selber oder eine Version in Go, die wir vor einer Woche veröffentlicht haben in seinem GitHub-Account. Das heißt, wenn Sie den GitHub-URL anschauen, dann können Sie die Zertifikats-Autoritäts-Scode finden. Da gibt es andere Teile einer Zertifikats-Ausschritte zur Infrastruktur wie Domain Name Server Interest. Und wir wissen nicht, welche Teile wir davon veröffentlichen können. Die Teile sind nicht, da haben wir aber noch nicht entschlossen. Die Frage war über die langfristigen Finanzieren. Wenn Sie in eher Geld mit Individualität oder in Organisationen seid und es euch wichtig ist, dann hätten wir es gut, wenn Sie Sponsoren oder finanzielle Partner werden würden. Wir haben kein Mechanismus, das Individuelle uns Geld geben können. Und ich glaube, dass das etwas ist, dass bald und nachdem das passiert wird, nachdem die Amerikaner über unseren Steuerstatus sich entschließen. Die Frage ist, kann ein Zertifikat erstellen für ein Dot-Onion-Domain? Das ist eine gute Frage. Ich habe gerade über viele Leute darüber geredet und wir haben es auch nicht beantwortet. Es gibt viele Leute, die darüber sagen, wo wir den CE-Browser vorhaben, darüber reden. Ich finde die Frage sehr faszinierend, aber ich weiß die Antwort dafür noch nicht. Dann, das 3. Plannt Ihr mehr Netzwerksichte in der Wifikations- oder in der Beschädigungsmechanismus, wie zum Beispiel, wenn ich einen Cash habe, der in DNS auf ein lokales Netzwerk basiert? Ja, um das nochmal zu sagen, wenn jemand für ein Zertifikat anruft und der ein Teil des Domain-Names-Servas oder der routigen Infrastruktur problematisiert und eine falsche Investition der Seite weitergibt und die eine falsche Investition wird über die falsche Version gemacht und eine der möglichen Sachen ist, dass er die Verifikation mehrmals von unterschiedlichen Stellen aus dem Internet machen, sodass komplizierter wird, ein lokalisierter Angriff dafür benutzt. Das ist nicht um was Falsches authentiziert wird. Und wir werden das machen. In der früheren Version, die TOR dazu benutzt hat, verschiedene Verifikationen zu machen. Das heißt, wir würden eine direkt machen und eine oder zwei über TOR, über unterschiedliche Exit-Notes, über unterschiedliche Stellen. Ich weiß nicht, ob oder wie weit wir TOR dafür benutzen, der zukünftige TOR benutzen, aber Verifikation für verschiedene Wege ist aus genau diesem Grund ein Bleib unserer Implementation. Denkt ihr, dass es Threat gibt, Angriff, dass es einen Angriff gibt gegen euer Projekt? Und die Leute, acht Leute aus dem Kongress haben mich schon darüber gefragt, ob es irgendwelche Angriffe darüber gibt. Das ist eine sehr häufige Frage. Und viele vertrauen dem amerikanischen Regierung nicht sonderlich. Wahrscheinlich aus einem guten Grund. Eine Antwort, die jede Zertifikation in irgendeinem legalen Bereich arbeitet. Und es gibt viele Bereiche, wo jede dieser Bereiche nicht, es gibt eine Zertifikatsautorität in China, die von einer chinesischen Betriebsfilm ist. Und wir haben geschaut, dass Zertifikationsautoritäten gibt, die nach dem eigenen Entschreiterung mit 50 unterschiedlichen Staaten arbeiten. Und jede Autorität helfen kann Zertifikaten zu irgendein Namen ausstellen. Ich habe das die amerikanische Stadt, dass viele Leute besonders Angst drum haben, wo wir auch sein werden. Wir werden nicht in allen 150 Staaten sein. Wir werden nur in den amerikanischen Staaten organisiert sein. Es gibt hauptsächlich drei Gründe, warum Leute fühlen, dass es nicht so schlimm ist, wie sie am Anfang denken. Zuallererst ist das Projekt vielleicht anders als andere Zertifikationsautoritäten in den amerikanischen Staaten von einer Gruppe von Privacy und Anti-Servalienz-Aktivisten, die mit einer Firma mit über 12 Anwälten, die mit uns arbeiten und dagegen kämpfen wollen. Wir hoffen, dass wir da vorgegen, richtig vorgehen können. Sehr gerne richtig dagegen vorgehen. Wir wollen die Chance nutzen, tatsächlich vorgegen, damit wir sehen, ob die das überhaupt, ob die das uns zwingen können. Und wir sind ein bisschen enthousiastischer als anderen. Weiterer Frage. Also ich habe jetzt nur gedacht, dass es eine falsche Ausführung ist. Ich glaube, dass das Stoppen einer Autorifizität ist und dass es negal wäre und dass viele Leute machen das. Und ich habe noch nie legale Probleme bekommen. Das ist keine negalen Probleme damit gehabt, dass sie existieren. Haben wir einen Weg, um diesen Shared Hosting Providers zu Lobby zu machen? Ja, ich hoffe, dass ein großer Provider sagt, das machen wir auch. Gratis oder für wenige Cent extra Zertifikate dafür zu hincheln. Und andere sagen, ja, das machen wir auch. Ich habe in einem Gespräch gesprochen, einen großen Provider, der da sehr interessiert dran war und so als Service bei D&C integrieren. Das heißt, es ist gut möglich, dass das passieren wird. Er hat auch einen Vorschlag von einem Deft im Kongress, einen großen Hosting-Konferenz, in den Europa passiert im Frühling. Und ich hoffe, dass da auch jemand sein kann und dort auch das Wort darüber verteilen. Denkt ihr, dass Briefe oder E-Mail-Time-Mustern verteilt werden könnten, dass ganz viele Leute diese Briefe schicken? Ich glaube, ich hätte es lieber in diesem Umfang, dass Leute zu individuellen Ingeniehern machen, dass man eine große E-Mail-Zwelle strickt. Ich glaube, dass, wenn man anfängt, dass es ein technischer Einforderung ist und es bei einem organisatorischen Level ankommt, dann werden andere sagen, hey, das wollen wir auch. Ich wollte fragen, ob die ja schon mit vorgegebene CAs existiert zusammenarbeiten, wie zum Beispiel CAs hat. Also irgendwas mit Class 1, ist das, die machen scheinbar das Gleiche als ihr gerade macht? Und deswegen, ja, es gibt es mir ja ein bisschen besser, aber warum arbeitet ihr nicht zusammen? Okay, also Applaus. Ich finde CAs als Ziel sehr gut und das Ziel von anderen Leuten, diese Zertifikate, Infrastruktur, ein freies Service, der für alle für erhältlich sein kann. Das ist genau das, was wir machen müssen. Das ist, warum wir das Projekt durchführen. Und ich würde Leute, die mit uns zusammenarbeiten wollen, in Berührung zu kommen. CAs hat insbesondere, hat ein spezielles Modell und eine spezielle Infrastruktur, die anders ist als die, die wir machen, auch wenn sie ähnlich ist. Aber ich glaube, insbesondere im Grundlage haben wir einen speziellen Weg entwickelt, wie wir es einfach schneller machen können, weil wir schneller die Zertifikate herausgeben können. Insofern versuchen wir, die Zertifikate zu erstellen, einen neuen, weil es ein schneller Weg ist, unser Ziel zu erreichen, öffentlich Zertifikate, die die Öffentlichkeit zu weitergeben, wenn es irgendwie noch Erfahrung hat, wie CAs hat, die irgendwelche Ideen, technische Ideen oder Zusammenarbeitsideen, die sollten definitiv mit uns in Kontakt treten. Ja. Kann ich noch was sagen? Kann ich noch mal reden? Ja. So weit ich weiß, der neue System beim CSR wird gerade geschrieben und es gibt ziemlich viele Änderungen. Und das wird ein bisschen anders. Vielleicht könnt ihr da zusammenarbeiten für einen Projekt. Ja. Sollten wir definitiv treten. Okay. Number six. Hi, ich habe zwei Fragen. Erste Frage ist, wenn ihr einen Zertifikat nochmal macht, muss man dabei die private Schlüssel wechseln? Was? Hab ich nicht darüber nachgedacht. Okay, es gibt andere Leute, die beim Protokoll arbeiten, die haben darüber nachgedacht. Die normale Fall, eine Zertifikate zu ändern, ohne die ganzen Schritte neu zu machen, ist derselbe private Schlüssel und einen Namen dazuzufügen oder hinwegzunehmen. Und in dem Fall, wenn wir diesen Verteidigung der Kontrolle für die aktuell validierten machen, wenn man einfach weiterführen, dass man dieselbe Gruppe ist, die uns vorhin kontaktiert hat, die wir schon vorhin überprüft haben. Die private Schlüssel zu ändern, wäre ein ausreichend großer Schritt, dass wir den kompletten Verteidigung neu machen wollen, um zu dürfen, dass keine komplett andere Identität ist, die einfach mal dazu kommt. Ich habe eine zweite Frage, die da weiterführt. Wenn ihr ständig eine Zertifikat erstellt mit dem gleichen private Schlüssel, die Revokation wird schwieriger, weil man jede einzelne Zertifikat, der bisher so weit erteilt wurde. Und wie wollt ihr eine eskalierbare Frage, wo OCSP relativ schnell ist? Es gibt sehr viel Trafik, dass damit kommt. Und wie plant ihr, einen Netzinstruktur zu bauen, die damit funktioniert? Ich bin sehr froh, dass ich nicht in OCSP arbeiten muss und ich versuchte natürlich nicht, die Leuten die OCSP Antworten schreiben. Aber wie habe ich das gesagt? Wir müssen eine große Hosting-Providee haben. Wir wissen noch nicht, wie groß, aber wir müssen schauen, wo wir das herkriegen. Wenn wir eine Veränderung machen, wenn wir ein neues Zertifikat erstellen, werden wir das alte automatisch zurücksehen. Aber wirklich, da ist deutlich viel Trafik und sehr viel OZR-Data. Es ist ein großes Problem. Ich hoffe, dass meine Kollegen eine großartige Lösung hat zu finden. Letzte Frage. Und es hat schon eine halbe Stunde. Ich sause im Internet. Habt ihr versiert hier einen Autorität zu grenzen, wie z.B. Europa? Mit dem falschen Auszug, das wäre eine gute Idee, weil die Autoritäten noch am Anfang haben. Und die Leute, die das Zertifikat in einem Haus geben und die Leute, die die kryptografischen Schüsse machen, einfach näher zusammenbringen. Also, wie die Leute zeigen, das sind die Neume, die wir als Autorität darüber machen, wer den Namen kontrolliert. Und wenn sie wissen, wer den Namen kontrolliert, dann sollten sie auch sagen, weil eine der einen Zertifikat in öffentlichen Schüsse machen wollen, ob wirklich der Besitzer ist oder nicht. Aber während du das gesagt haben, dann ist es nicht das System, das in den 90er-Jahren erstellt wurde. Das System, das in den 90er-Jahren erstellt wurde, auch wenn es Erweiterungen hat, die das ermöglichen, hat keine neuen Namen-Konstruktion als Einschränkung. Und ich glaube nicht, dass wir einen wirklichen, einen direkten Weg sehen, wo wir so etwas implementieren können. Für die generelle Frage, meine bestimmten Namen, ist es ein Zertifikat zu erstellen. Es sei das Namen-Halter und das Registratus. Es gibt einen Mechanismus, das nennt sich CAA. Ich glaube, das ist sehr interessant, was wir implementieren wollen. Mein Mechanismus sagt, ich will nur dieses CAA, für meinen Domainnamen irgendwas machen, und nur diese eine Zertifikation und Autorität. Das muss aber jeder einzelne Domainnehmen machen. Das wäre vielleicht sinnvoller Methodik, besonders um falsche Ausstellungen zu verhindern. Okay, so das war es. Das ist schön und damit ist auch unsere Übersetzung beendet. Vielen Dank, dass Sie zugehört haben. Wenn Sie wirklich ein Feedback haben, dann können Sie