 Es soll soweit Konferenzialität, aber auch Auserität, prüfen. Also niemand kann sehen, was übertragen wird, keiner kann ändern, was übertragen wird. Und man weiß genau, dass die Person, die den Daten sendet, die Person ist, die behauptet, sie zu senden. Die benutzen signierte digitale Zertifikate, die signierten Zertifikate muss bei einem anderen Zertifikat signiert sein. Wenn man vertraut ist, muss man eine Kette haben zu einer Zertifikat kommen, der von einer öffentlichen Zertifizierungsautorität vertraut wird, die entscheidet, wer an Zertifikat bekommt und wer nicht. Und warum müssen wir noch eine starten? Na ja, das Internet ist ein schlimmer Ort. Es sind sehr einfach dort HTTP-Verbindungen zu anzuschauen oder sogar zu modifizieren. Es sind eine Reihe von Angriffen, die gezeigt wurden über die Jahre, zu anderem Cookie und noch vieles weiter. Und von dem Firefox-Browser ist eine ungefähr 40% der HTTP-Anfragen bei HTTPS gehen. Und das ist wahrscheinlich, weil eine Zertifikate zu bekommen und es zu installieren, alles einzustellen, die richtigen Konfigurationen zu machen, ist ziemlich durcheinander und ein Teil davon ist, wer jede Zertifikationsautorität entscheidet, wie er sein Zertifikat ausstellt und relativ frei da drin ist. Und unsere Lösung dafür ist, noch eine Zertifikationsautorität zu erstellen. Also was kann schief laufen dabei? Und weil wir von der EFF sind und von Mozilla haben wir beschlossen, dass sie komplett gratis sein sollte. Gruptografie sollte nicht etwas sein, wo man viel bezahlen muss im Internet. Und dummerweise im Moment ist es leider so, dass nur zwei Zertifikationsautoritäten, die gratis Zertifizale Karte ausstellen und unglücklicherweise sind beide ziemlich kompliziert und werden dich ausschließen, wenn du in einer Reihe von Gruppen bist. Und wir haben beschlossen, dass es gratis zu machen und wir wollen es auch fällen offen machen. Wir wollen, dass es fällen offen machen, weil es sehr schwer ist zu sagen, was Zertifikationsautoritäten wirklich machen, wie die entscheiden, wer ein Zertifikat bekommt und wer keins bekommt. Und darum haben wir beschlossen, einen standardisiertes Protokoll zu erstellen. Und das haben wir Akme genannt, so dass wir uns jeder sagen kann, was ist der sicherste Weg, also ein Zertifikat auszustellen. Also das Encrypt hat es schon gestartet und man kann im Moment sich das anschauen und ein öffentlich vertrauenswertes freie Zertifikat von uns bekommen. Aber leider ist es nichts Billiges, sowas zu machen. Wir haben viel Geld bekommen von vielen Firmen, klusive, viele Hosting-Provider, Mozilla, Cisco, Akme in einem Verteidungssetzwerk und der im elektronischen Frontier Foundation und dann noch vielen anderen. Also das CA und das Zertifikationssystem ist sehr komisch. Bevor wir da hingehen, das hier ist eine Karte von jedem vertrauenswerten Zertifikationsautorität, die im Moment existiert. Jede von ihnen kann ein Zertifikat ausstellen, dass sein Browser komplett vertraut. Und das ist sinnfrei, das ist komplett idiotisch. 1600 Zertifikationsautoritäten und das ist einfach nur dumm. Man kann sehen, letztendlich krypt es einer der kleinen Lila und links. Und natürlicherweise haben wir nicht alle, sind wir nicht so groß wie andere Zertifizierungsautoritäten, aber es wird bald passieren. Also es gibt ein paar Regeln und das sind ein Forum, die von Leuten, die beschließen, wie das Ecosystem läuft von den Zertifikationsautoritäten, weil die eine gewisse Information darin haben, Geld zu machen, nicht die Benutzer zu schützen. Da gibt es immer so einen Unterschied zwischen denen und den Browser darüber, wie die Regeln erstellt werden sollen, die die öffentlich vertrauten Zertifikationsautoritäten unterstützen. Darum haben sie sich zusammengesetzt und haben beschlossen, sich selber zu überwachen. Um den Regeln in dieses reinzubringen. Die Browser haben in der Regel ein bisschen mehr Power in die Zertifikationsautoritäten. Die haben mehr Anforderungen, dass man die Regeln durchbringt. Und das ist, weil die Zertifikationsautoritäten in der Regel wollen einfach nur Geld machen, während Browser in der Regel versuchen, die Benutzer sicher zu halten. Aber unglücklicherweise ist der ZSIMCRIP noch nicht ein Mitglied dieser Gruppe, weil sie sehr starke Regeln haben, um da ein Mitglied zu sein. Und eine Reihe von Autos, die wir noch nicht hingekriegt haben. Aber wir sind ziemlich nah dran. Also, wie wir gesagt haben, das Forum erstellt Regeln, diese grundlegenden Anforderungen und jedes Zertifikationsautorität muss sie unterstützen, wenn sie vertrauenswert sein wollen und von den Browsern vertraut werden wollen. Und man muss jeden Prozess dokumentieren, über den ein Zertifikat ausgestellt werden. Das dauert sehr lange. Also, sie wählen auch eine andere Sicherheitslevel für unterschiedliche Zertifikations- und Zertifikations-Zertifikate. Es gibt drei Vertrauensstufen für Zertifikate. Wir sollten anmerken, dass kryptografisch keines Unterschieds zwischen diesen drei Stufen besteht. Der Unterschied besteht einzig und allein darin, wie die Zertifikatsautorität überprüft hat, ob du das Zertifikat auch bekommen darfst. Domain überprüft ist das einfachste Level, was im Wesentlichen bedeutet, dass du einen bestimmten Namen im DNS-System kontrollierst. Es gibt dann ein paar Zusatzschritte, die man machen muss, um die sogenannte Organisationsüberprüfung zu bekommen. Man muss dann zum Beispiel beweisen, dass man ein gewisses Geschäft in einem gewissen Land tatsächlich auch vorliegt und Extended Validation ist noch weitergehend. Da muss man dann noch mehr Beweise, die Tatsbeweise vorlegen. Sowohl Organisationsalsach erweiterte validierende Systeme machen nicht wirklich mehr Sicherheit. Sie geben einfach nur dem Browser mehr Hinweise. Wenn also an ein Extended, ein erweitertes Zertifikat vorliegt, dann sieht man so eine grüne Box im Browser, wo dann der Name von dem Eigentümer drin steht. Aber kryptografisch ist alles das Gleiche. Also wie passt letztendlich ein Crypt hier rein? Wie wir schon gesagt haben, wir machen alles absolut kostenlos. Das ist inklusive dem Ausgeben von Zertifikaten erneuern und zurückziehen. Und alles andere, was du mit uns tun würdest, ist komplett kostenlos. Wir werden nichts berechnen. Wir werden auch ausschließlich Domain-Überprüfte-Zertifikate ausstellen. Wir machen das, weil wir nicht wirklich vorhaben, Leute anzuheuern, die von Hand überprüfen, ob irgendwelche Legitimierung vorliegt. Das ist komplett automatisiert. Die einzigen Leute, die wir anheuern, sind Leute, die die Server betreiben. Wir geben auch nur Zertifikate aus die höchstens 90 Tage gültig sind. Wir haben das ursprünglich entschieden, das so zu machen, weil in der alten Welt, wo Zertifikate von ein bis drei Jahren lang gültig sein könnten, sieht es aus, wäre es wirklich schwer, wie man automatisieren kann, dass die Zertifikate erneuert werden müssen. Einmal im Jahr geht man zu seiner Zertifikatsautorität und will ein neues Zertifikat und bringt ein List die nächsten Stunden damit, wie man das jetzt erneuert. Man muss denen dann sagen, was man will. Man muss es vorhanden im Server installieren. Indem wir die Gültigkeitsperiode auf 90 Tage beschränken, stellen wir sicher, dass Leute wirklich gezwungen sind, oft ihre Zertifikate zu erneuern. Was den guten Seiteneffekt hat, dass man den Zertifikat komprimiert wird, dann ist es nur komprimiert für höchstens 90 Tage. Das heißt, das Ganze ist auch etwas sicherer dadurch. Wir geben auch Zertifikate aus, die für mehrere bestimmte Domains gültig sind, anstatt Wildcards, die für alle Subdomains an der Domain gültig sind. Das nennt sich Subject Alternative Domains. Aus so viel heißt, wie ein bestimmter, ein einziges Zertifikat kann verwendet werden, um bis zu 100 Domains zu validieren. Damit unsere Zertifikate auch wirklich öffentlich vertraut werden, haben wir uns angemeldet bei den Programmen von Mozilla, Microsoft, Apple und Google. Aber wir haben auch eine unserer Zwischenzertifikatsstellen cross signiert bekommen von IDENTRUST. Was bedeutet, dass alle Zertifikate, die wir jetzt schon ausstellen, werden jetzt schon vertraut. Wir müssen uns also nicht um all die Geräte kümmern, die dann vielleicht unsere Zertifikate nicht vertrauen können. Wir haben mit einer geschlossenen Beta angefangen, es war Anfang September. Das ging dann bis zum 3. Dezember. In dieser Zeit haben wir nur 20.000 Zertifikate ausgegeben. Und könnt ihr sehen, ganz am Anfang, die erste Teil vom September, haben wir nur die Mitarbeiterzertifikate an sich selbst ausgegeben, das war nur ein paar Hundert. Dann haben wir die geschlossene Beta aufgemacht und haben ungefähr 20.000 weitere ausgegeben. Am 3. Dezember haben wir das öffentlich gemacht. Jeder konnte jetzt mitmachen, man muss sich nicht bewerben. Und wir haben eine Zertifikate ausgestellt, solange beweisen konnte, dass die Domain dir gehörte. Am ersten Tag haben wir bereits die Gesamtanzahl Zertifikate verdoppelt, innerhalb einer Woche vervierfacht. In den ersten zwölf Stunden haben wir ungefähr alle zwei Sekunden ein Zertifikat ausgestellt. Seitdem haben wir über 200.000 Zertifikate über ungefähr 440.000 Domains ausgestellt. Wir sind immer noch in der Beta, das sollte man im Hinterkopf behalten. Wir gehen nicht davon aus, wir machen die Beta so wie Google, also es wird ein Weichen dauern. Um die Verwendung der Logs von Zertifikatstransporität, das ist eine Sammlung von Logs, die Google angelegt hat, von allen aktuell gültigen Datenbank, da können wir sehen, dass bereits jetzt letztendlich die fünf größte Zertifikatsautorität ist. Wir sind jetzt schon größer, als wo seien und statt ist es, dass die beiden anderen kostenlosen Zertifikatsautoritäten sind. Unser Ziel ist, nicht unbedingt die größte Zertifikatsautorität zu werden, unser Ziel ist es, das gesamte Anteil an verschüsselten HTTPS-Verbindungen im Internet zu erhöhen. Das ist schwierig zu messen. Wenn man nicht gerade in einem Backbone sitzt, ist es im Wesentlichen unmöglich festzustellen, welcher Anteil an Verbindungen über HTTPS läuft. Glücklicherweise haben wir Firefox die Möglichkeit, da Telemetriedaten von den Nutzern zu sammeln, um festzustellen, von welchen Zertifikatsautoritäten sehen die Leute Zertifikate, und wir können Zertifikatstransparenz verwenden und festzustellen, wie die Leute unsere Zertifikate wirklich benutzen. Wir haben also einen Haufen Statistiken. Momentan haben wir über 120.000 individuelle Registrierungen. Jede einzelne von denen kann mehrere Zertifikate sein. Bisher haben wir nur so ungefähr zwei Zertifikate pro Registrierung, also sprich zwei DNS-Namen pro Zertifikate. Es liegt vor allem vermutlich vor allem daran, dass die Leute ihre Sachen testen und fangen damit an, für einzelne Domain wie ihren Blog oder ihre persönliche Website die Zertifikate auszustellen. Und nicht viele Leute machen riesengroße Zertifikate mit vielen, vielen alternativen Namen. Wir sehen das ungefähr ein Drittel der Namen, für die wir Zertifikate ausstellen, haben in mehreren Zertifikaten vor. Davon sind wir ausgegangen, dass das passiert, weil wir viele Zertifikate für Inhaltsverteilungsnetzwerke ausgeben. Diese Netzwerke werden viele, viele Endpunkte haben, die für einen ganzen Satz verschiedener Webseiten zuständig sind. Die haben dann vielleicht so 15 Zertifikate, die dann jeweils 15 Domain-1 haben, die verteilt werden über alle dieses Server. Wir sehen auch das ungefähr 20 Prozent der Zertifikate, die exakt dieselbe Menge an doppelten Zertifikaten haben. Das sind vermutlich Leute, die dabei sind, also die ganzen unseren Kleinen zu gewöhnen und da auch Bugs drin zu fixen. Das heißt, die werden dasselbe Zertifikate immer und immer wieder ausstellen, ohne festzustellen, dass wir schon vorher ein gültiges Zertifikat hatten. Aber wir sehen, dass das nach und nach weniger wird. Wir haben auch gesehen, dass 80 Prozent der Domain-Namen, für die wir Zertifikate ausgeben, vorher noch nie ein Zertifikat hatten, gemäß der Zertifikat-Transparenz-Logs. Das heißt, das wären alles Leute, die neu bei SSL quasi dabei sind, die vorher noch kein Zertifikat hatten. Wir haben ungefähr ein Prozent der Zertifikationen wurden zurückgerufen. Das ist ein gutes Zeichen, dass das Zurückruf zu diesem wirklich funktioniert. So, um zu sehen, wie die Leute in den Zertifikaten wirklich ausrollen, haben wir ein sehr kleines TLS-Scanner geschrieben, der versucht den ganzen Zertifikaten, die wir ausgeliefert haben, durchgehen und schauen, ob die die wirklich benutzen. Wir sehen, dass ungefähr 75 Prozent der Leute, die wir ein Zertifikat ausgestellt haben, haben es wirklich auf dem Domain-Namen, für den wir das ausgestellt haben, ausgerollt. Und ungefähr acht Prozent der Leute haben eine kaputte TLS-Konfiguration. Das heißt, wenn man sie verbindet, dann wird der Browser die Zertifikate ablehnen. Und das kann teilweise das sein, weil sie selbst signierte Zertifikate haben und weil sie nicht den richtigen Kälte von Zertifikatsketten zur Verfügung stellen. Und drei Prozent der Zertifikate, die wir uns schickt haben, haben überhaupt kein HTTPS. Das ist ziemlich, schon nicht weniger, weil wir nur HTTPS-Scannen können, noch Leute HTTPS, Leute ISC-Serve oder E-Mail-Serve, das im Hintergrund benutzen, das würden wir nicht wissen. Wir können auf 45 Prozent sehen, dass die für alle Zertifikaten haben, die wir behalten. Das ist eine sehr gute Nummer. So, wenn wir das Firefox-Telemetrie sehen, dass nur 0,1 Prozent der erfolgreichen TLS-Handshakes ins Encrypt-Zertifikat benutzen, sieht sehr wenig aus, aber das ist anscheinend relativ sinnvoll. Wahrscheinlich. Unser Ziel ist nicht, den größten Webseiten im Internet dazu zu bringen, unser Zertifikat zu benutzen. Wenn das passiert, dann wäre die Prozent- Anzahl der erfolgreichen TLS-Handshakes deutlich größer. Unser Ziel ist es, Zertifikate auszustellen für viele Leute, für Leute, die möglicherweise nicht 100 oder 1000 von Besuchern haben, aber die immer noch Kryptografie benutzen können. So, wir haben einen offiziellen Client, der Netz Encrypt heißt. Aber im Moment wird er von ungefähr 65 oder 50 Prozent der Benutzer benutzt. Das ist ein sehr komplizierter Client und der macht viele Sachen. Der managt die Erneuerung und das Zertifikat installieren und den NGNX oder Apache Server und noch ein paar andere. Seitdem wir angefangen haben mit der Public Beta, 30 andere third-party Clienten für viele unterschiedliche benutzen, wenn man ein Zertifikat benutzen möchte. Das beinhaltet ein Web-Server, der Caddy heißt, der einen integrierten Acme Client hat. Das heißt, man kann den Web-Server anschalten und wenn man keinen SSL-Zertifikat hat, dann holt er sich sofort ein. Ein anderer ist ein Web-basierter Client, den kann man in den Browser gehen und den Zertifikat generieren und dass man irgendetwas auf dem System installieren muss. Und der Hauptziel ist Post-Improvider dazu zu bringen oder Content-Disput zu uns, Netzwerke dazu zu bringen, unsere Zertifikate zu benutzen. Während die meisten Leute hier hinnehmen und Zertifikate durch den Server laufen haben, eine kleine Web-Seite haben einen Hosting-Provider, der das Ganze für sie organisiert und normalerweise wollen die Geld für die Zertifikate haben. Unser Ziel ist, das D dazu zu bringen, A, es gerade zu machen und B, es sehr einfach zu machen für die Benutzer. Also bisher haben wir Acme, Key-CDN, Dream-House, Tion, Plastizu und andere, die Chrome-Kosten-Disput schon integriert haben und es erlauben, das Zertifikat zu bekommen und ganz umsonst. Und wir vermuten, dass in der Zeit deutlich mehr wird und hauptsächlich Leute, die 100.000 Zertifikate haben, das werden nicht individuelle sein, es werden Hosting-Provider sein. Und wir haben immer noch viele Sachen, die gemacht werden müssen für eine Zertifikationsautorität. Also DnS-Überledierung oder HTTPS machen. Das macht das relativ kompliziert für Leute, die der Komplexe Set-Ups haben, die Load-Balancer benutzen oder andere Systeme um die Webseiten zu validieren. Eine unserer Möglichkeiten wäre DnS-Challenge, die jedem ermöglicht, ein DnS-Rekord hinzuzufügen und automatisch validifiziert werden. Wir wollen auch eine Besitzbeweis-Challenge machen. Das heißt, wenn man eine DnS-Name anfragt, der schon einen SSL-Zertifikat benutzt und fragt, hey, beweise, dass du den privaten Schlüssel von diesem Zertifikat kontrollierst. Und das ist ein sehr weitere Verifikationsschritt, das eine gewisse Person nur ein echtes Zertifikat für eine Domäne erstellen, die es auch hat. Und wir wollen auch mehr Wege-Validikationen haben. Man validieren wir von einem einzelnen Punkt. Das heißt, wir haben Probleme, wenn andere für uns am eigenen Netz weg sind, aber das wird bald sich ändern. Okay, vielen Dank. Ja, danke. Die ersten Fragen sind aus dem Internet. Ja, die erste Frage aus dem Internet ist, da gibt es viele Kritiken in den kleinen, den offiziellen kleinen. Wäre es nicht eine bessere Idee gewesen, den Server und den Server den Kleint aufzuteilen? Ich denke, der Kleint ist ziemlich schwierig zu implementieren. Und wir, weil wir die Leute sind, die das Protokoll erstellt haben, würde es Sinn machen, für uns auch die Leute zu sein, die den Kleint implementieren. Wir hätten einfach gewartet, darauf, dass irgendjemand sonst das macht, gehe ich nicht davon aus, dass wir soweit gekommen wären, wie wir jetzt sind. Die zweite Frage ist, viele Leute sind interessiert in das T-Shirt. Gibt es, ah, was ist drauf? Und zweitens, wo kriegt man das her? Leider, es gibt sie nicht zu kaufen, noch nicht, aber bald sollte das der Fall sein. Und ihr könnt vielleicht eine Statifikat sein, du kannst versuchen, das zu dekodieren, aber ich glaube nicht, dass ihr sehr weit damit kommen werdet. Das ist die Frage von der Reform Nummer 1. Ja, wenn ich ein Service ausprobiert habe und es hat sehr gut funktioniert, habe ich mich gefragt, was halten wird sie daran, in die Öffentlichkeit zu sehen. Sie haben jetzt Beta sich beschließen. Was bedeutet Beta bei Ihnen? Ja, also, unser Dienst ist noch nicht vollständig getestet worden. Wir würden nicht empfehlen, dass eine Webseite wie Facebook die Millionen von Zugriffen jeden Tag bekommen sollte eines unserer Zertifikate ausrollen. Ja, das sollten, es ist, bisher haben wir ein festes Limit für Zertifikate, die wir ausgeben können wegen unserer Hardware-Sicherheitsmodule und deswegen versuchen wir das Ganze ein bisschen langsam anzugehen. Soweit wir wissen. Die nächste Frage von Reform Nummer 2. Was machen Sie zum Zurückrufen von Zertifikaten? Nehmen Sie die Standard-Revogationslisten? Wir benutzen OCSP. Unser Plan ist, dass OCSP antackern, OCSP stapling dafür in Zukunft fortzuziehen. Die Variante CRL ist zu kaputt. Wir versuchen also sowohl Apache als auch EngineX dazu zu kriegen, dass Sie dieses OCSP stapling dieses Zusammentage anmachen, damit das eine sinnvolle Methode zur Rückziehung ist. Das ist das Internet in der Nachbikrofon 1. Warum kann man nur eine gewisse Anzahl von Issus für Protomain aussehen? Das ist besonders effekt für DNS, DIN-DNS-Version. Ja, stimmt. Wir benutzen die öffentliche Suffix-Liste, um zu zählen, wie die Zertifikate aussehen. Wenn du z.B. roll.com hast, dann wirst du 5 Zertifikate für kriegen können. Bisher ist das, weil wir ein festes Limit davon haben, wie viele Zertifikate wir ausgeben können. Wir wollen nicht, dass einzelne Leute das signifikante Anteil wegnehmen können. Wir wollen versuchen, herauszukriegen, die Zertifikierungsrate in der Zukunft zu feststellen, dass wir mehr Zertifikate haben können. Vielen Dank für die große Vortage und große Ziele. Ich habe noch eine Frage für den Audit, den Sie schon gemacht haben. Weil für neue Leute dabei sind, ist dieses große Audit oder die Zettlergruppe dabei geholfen hat, das zu erstellen. So werde ich weiß, dass die Zertifikate im September angefangen haben. Sind wir im Dezember? Was ist der Start des Audits? Ich habe Sie auch informiert über die Cross-Vertifikationen. Die zählt einfach dabei nicht. Es ist auch interessant. Also wir sind bisher noch nicht in den Zertifikats-Root-Programmen von irgendeinem der großen Browser. Wir haben, glaube ich, gerade unsere Audits abgeschlossen. Leider ist es so, dass diese Kreuzsignatur, die wir haben, keinerlei Audits benötigt. Wenn du genug Geld bezahlen kannst, gehst du zu einer Zertifikatsautorität und die werden dein Zertifikat kreuzsignieren, übersignieren und es wird einfach laufen. Das ist ein sehr dummes System. Das heißt, wir können momentan komplett gültige, vertraute Zertifikate ausgeben und man entscheidet, warum oder wie das passiert. Das ist seltsam. Ich möchte gerne alle danken, die ihr bei dem Projekt mitgearbeitet habt. Das ist super. Danke, danke. Ja, für uns auch. Definitiv. Aber eine Frage über Engine X. Wissen Sie, wann das möglicherweise komplett vertraut ist? Ich bin ich völlig sicher. Ja. Arbeiten dran. Das momentan unser Hauptziel im Klient ist es zu verbessern, wie gut die Engine X Plugins arbeiten. Engine X zieht dabei etwas den kürzeren Momentan, weil die mehr Leute normal Apache nutzt. In den nächsten paar Monaten sollte das jedoch deutlich besser werden. Die nächste Frage wurde Nummer 4 an der Wiederes-Internet. Hallo, ich habe 2 Fragen. Die erste Frage ist einmal im Morgen. Es ist ein neuer Angreif und jeder sollte zu Shard 3 weitergehen. Aber wer wir alle wissen, viele der Klienten haben das nicht. Wie würden Sie das lösen? Würden Sie jeden dazu bringen, dazu sofort Shard 3 zu bekommen und wenn Sie sie den benutzen, die lieber zurückfalls kompatibel sind. Und endlich gibt es wie Sie die Fähigkeiten bekommen haben warum 90 Tage und nicht weniger und vielleicht die ganzen Revokationssysteme auszubrennen oder warum nicht mehr. Also vielleicht eine Idee, wie Sie darüber nachgedacht haben, wie Sie die Entscheidungen getroffen haben. Also zur ersten Frage das entscheidet man nicht alles allein. Das entscheidet das das CA-Forum und wie Sie sich entscheiden den Algorithmus quasi auslaufen zu lassen. Wir konnten bis zur Deadline immer nach Zertifikate ausgeben, damit Leute so Problems wie möglich rüberwechseln können. Aber wie gesagt, das ist eine Richtlinienfrage für den regulierenden Körper hier. Besuch ich 90 Tage, wir haben uns überlegt, ob wir zulassen können, dass man das kürzer machen kann. Wenn du willst, dass es kürzergütig ist, dass das möglich sein sollte. Wir haben entschieden, dass es eine feste Grenze gehen sollte und wie lange das Zertifikat gültig ist. Und das ist Bezug darauf besuch ich, was wir denken, wie lange ein Zertifikat das Gas komprimitiert wurde, wie lange es sicher ist, dass es noch herumhängt. Es sollte natürlich so kurz sein, wie möglich. Leider ist das erneuen von Zertifikaten immer noch schwierig. Wir können also nicht einfach sagen, 14 Tage reicht und 90 Tage war dann, was wir als Kompromiss, was Sicherheit angeht, hier beschlossen haben. Noch eine letzte Frage aus dem Internet. Noch eine letzte Frage. Was ist der Stagnier, den Sie benutzen, den Zertifikat zu generieren? Haben Sie da irgendwelche spezielle Optimisierung? Nöchen Kohl oder Hardware, die verstärkten Anforderungen zu unterstützen? Wir signieren unser Zertifikat damit Hardware Security Modulen. Und Geste Bibliothek, die verwendet wurde von CloudFair, die von denen verwendet wird für Ihr SSL-Programm, das heißt CFSSL, ist nichts Besonderes dabei. Ganz übliches X5109 Zertifikatsgenerwählung. Okay, thank you very much. Vielen Dank.