mcdaniels 33 Geschrieben 7. Juli 2010 Melden Teilen Geschrieben 7. Juli 2010 Hallo zusammen! Ich habe mir ein offizielles Zertifikat (kostenpflichtig) erstellen lassen. Dieses Zertifikat soll zum Signieren von Dokumenten verwendet werden. Abseits davon verwendet der von mir zur Zertifikaterstellung verwendete ZDA (in dem Fall a-cert), auf seinem Server logischerweise das https Protokoll. Nun wundere ich mich gerade weshalb ich zb im Firefox dennoch eine Meldung erhalte dass dem Zertifikat von a-cert bei Verbindungsaufbau mit der Homepage nicht vertraut wird. Die Jungs verwenden doch ein offizielles Zertifikat. Kann mir ev. jemand mitteilen, wie das Zertifikat bei Verbindungsaufbau (Firefox) abgefragt wird? Wie erfolgt hier die Prüfung ob das Zertifikat vertrauenswürdig ist? Es macht ja wenig Sinn wenn man dem Zertifikat manuell vertrauen muss... LG Zitieren Link zu diesem Kommentar
Windowsbetatest 10 Geschrieben 7. Juli 2010 Melden Teilen Geschrieben 7. Juli 2010 Hallo, eventl. kannst du ja den öffentlichen Teil des Zerts irgendwo posten bzw. uns die Webseite nennen. Auf die schnelle vertraut mein orginales windows 7 diesem Cert nicht und Firefox führt eine eigene Liste, welchen Zertifikaten er vertraut. Ob Zertifikate oder Zertifikatsinfrastrukturen überhaupt sinn machen, steht auf einem anderem Blatt. Ich vertraue aus Überzeugung VeriSign nicht (mehr), aber was bleibt mir übrig als den Zerts doch zu "trauen"? mfg Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 8. Juli 2010 Autor Melden Teilen Geschrieben 8. Juli 2010 Genau das ist ja der Punkt. Man zahlt für ein Zertifikat einer Zertifizierungsstelle, damit selbigem eigentlich ohne Benutzerinteraktion vertraut werden kann. Welcher Benutzer vertraut schon einem Zertifikat, wenn im Browser ein Pop-up erscheint, welches darauf hinweist, dass das Zertifikat nicht vertrauenswürdig ist? Also ich würde dem nicht vertrauen. Es ärgert mich insofern einigermaßen, da diese Zertifikate ja eben nicht kostenlos sind. Im Endeffekt erhält man das gleiche, wenn man sich ein self signed Zertifikat mittels Openssl erstellt. Im Konkreten Fall geht es um eine Amtssignatur, die dann zum signieren von Dokumenten verwendet werden soll. Wobei die Signatur an sich noch nicht bei mir eingetrudelt ist. Deshalb kann ich hierzu noch nichts sagen. Generell kommt mir halt komisch vor, dass selbst wenn man auf die Seite die ich im vorhergehenden Post erwäht habe geht, eine Warnung im Browser erscheint, dass dem Zertifikat nicht vertraut wird. Hier wären ja Verzeichnisse sinnvoll, die vom Browser abgefragt werden (online), um die Gültigkeit des Zertifikates zu bestätigen. Diese Meldungen machen Zertifikate (zumindest wenn es darum geht, Vertrauen zu erwecken) eigentlich etwas "sinnfrei". LG Zitieren Link zu diesem Kommentar
Windowsbetatest 10 Geschrieben 8. Juli 2010 Melden Teilen Geschrieben 8. Juli 2010 Hier wären ja Verzeichnisse sinnvoll, die vom Browser abgefragt werden (online), um die Gültigkeit des Zertifikates zu bestätigen. Hallo, das wäre es nicht. Dein Browser bzw. dein OS führt eine entsprechende Liste mit Root-CAs denen er vertraut. "Online" werden nur die CRLs geprüft, ob dieses Cert gespeert wurde. Sonst könnte ja jeder kommen. Was sagt den den die Prüfung genau? - ungültige/nicht vertrauenswürdige Root-CA? - Gültigkeitsdauer? - falsche Nutzung des Zertifikates (z.B. keine Serverauthentifikation)? - Hostname stimmt nicht? - "Alternate Subject Name"? mfg Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 8. Juli 2010 Autor Melden Teilen Geschrieben 8. Juli 2010 das wäre es nicht. Dein Browser bzw. dein OS führt eine entsprechende Liste mit Root-CAs denen er vertraut. "Online" werden nur die CRLs geprüft, ob dieses Cert gespeert wurde. Sonst könnte ja jeder kommen. Ich hätte mir gedacht, dass eben offizielle Registrierungsstellen so ne Liste führen, denn die sollten ja vertrauenswürdig sein und die Vertrauenswürdigkeit der Firmen / Personen für die sie Zertifikate ausstellen genau prüfen. Hey! Firefox sagt Dieser Verbindung wird nicht vertraut. Sie haben Firefox angewiesen, eine gesicherte Verbindung zu https://wwwxxx.at aufzubauen, es kann aber nicht überprüft werden, ob die Verbindung sicher ist. Wenn Sie normalerweise eine gesicherte Verbindung aufbauen, weist sich die Website mit einer vertrauenswürdigen Identifikation aus, um zu garantieren, dass Sie die richtige Website besuchen. Die Identifikation dieser Website dagegen kann nicht bestätigt werden. Falls Sie für gewöhnlich keine Probleme mit dieser Website haben, könnte dieser Fehler bedeuten, dass jemand die Website fälscht. Sie sollten in dem Fall nicht fortfahren. Technische Details dazu wären: www.xxx.at verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil dem Aussteller-Zertifikat nicht vertraut wird. Das Zertifikat gilt nur für folgende Namen: webmail.xyz.at , webmail2.xyz.at (Fehlercode: sec_error_untrusted_issuer) Und das bei einer offiziellen Registrierungsstelle....!!! Hab grad noch selbiges bei ner andren Registrierungsstelle probiert > wiederum die gleiche Meldung mit technischem Hintergrund > Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist. (Fehlercode: sec_error_unknown_issuer) Wobei beim zweiten Anbieter der IE nicht meckert. Nehmen wir jetzt mal einen normalen User her. Was würde sich selbiger wohl denken, wenn er gerade eine sicherheitskritische Tätigkeit durchführen will, somit dann die Seite aufruft und so ne Meldung bekommt. Gut der normale User liest die Meldung nicht und macht weiter :-)... Aber mal im Ernst, das ist doch alles irgendwie ein wenig "chaotisch"... LG PS: Ich bin betreffend Zertifikate zur Zeit noch nicht sehr bewandert! Zitieren Link zu diesem Kommentar
Windowsbetatest 10 Geschrieben 8. Juli 2010 Melden Teilen Geschrieben 8. Juli 2010 Hallo, also was du gepsotet hast, kann nicht gehen. Wenn du auf die Seite www. xyz .at zugreifen willst, das Cert aber nur für webmail.xyz.at und webmail2.xyz.at gilt, kann das nicht gehen. Dein aktuelles Problem ist aber, das dein Browser der Root-CA Cert nicht vertraut. Der Import dieses würde das Problem für dich, aber nicht für externe, lösen. Wenn es eine www Seite ist, ist diese ja öffentlich erreichbar, daher könntest du ja mal den Link posten bzw. mir per pm schicken, dann schaue ich mir das Cert mal an. mfg Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 8. Juli 2010 Autor Melden Teilen Geschrieben 8. Juli 2010 Hey! Ja, genau soweit hab ich das auch verstanden :-) Aber wieso macht sowas eine Stelle, die eigentlich eben Zertifikate (offizielle) ausstellt? LG Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 8. Juli 2010 Melden Teilen Geschrieben 8. Juli 2010 Hallo, Ja, genau soweit hab ich das auch verstanden :-) Aber wieso macht sowas eine Stelle, die eigentlich eben Zertifikate (offizielle) ausstellt?So richtig hast Du es scheinbar noch immer nicht verstanden. Die CA hat doch überhaupt keinen Einfluss darauf, wer ihr per Default vertraut. Dieses (Vorschuß-)Vertrauen muss sie sich erst verdienen! Wenn einer CA aufgrund wirtschaftlicher oder politischer Einflussnahme grundsätzlich vertraut würde, böte dies aufgrund der Mißbrauchsmöglichkeiten berechtigter Weise Grund für Verschwörungstheorien...Jeder kann eine CA aufmachen und anderen Zertifikatsdienste verkaufen. Erst Ihre Marktdurchdringung/Bekanntheit, ggf. ihre öffentliche Akkreditierung, ihre Policy und vorallem Ihr Verhalten sollte dazu führen, dass sie von verbreiteten Systemen als bekannt und grundsätzlich vertrauenswürdig eingestuft wird. Dein Fehler war also, sich bei der Auswahl der CA nicht über deren Akzeptanz informiert zu haben! ..."Online" werden nur die CRLs geprüft, ob dieses Cert gespeert wurde.Schön wäre es! Das Debian-Debakel hat uns doch u.a. knallhart vor Augen geführt, dass dies in der Regel eben nicht der Fall ist. Siehe Im Zugzwang | heise SecuritySpätestens mit diesem Umstand fällt die Vertrauenswürdigkeit das "Zertifikatsbusiness" wie ein Kartenhaus in sich zusammen. Die einzige CA, der man vertrauen darf, ist eigentlich die eigene... Gruß Steffen Zitieren Link zu diesem Kommentar
Windowsbetatest 10 Geschrieben 8. Juli 2010 Melden Teilen Geschrieben 8. Juli 2010 Schön wäre es! Das Debian-Debakel hat uns doch u.a. knallhart vor Augen geführt, dass dies in der Regel eben nicht der Fall ist. Siehe Im Zugzwang | heise SecuritySpätestens mit diesem Umstand fällt die Vertrauenswürdigkeit das "Zertifikatsbusiness" wie ein Kartenhaus in sich zusammen. Die einzige CA, der man vertrauen darf, ist eigentlich die eigene... Das ist aber nicht das Problem der CA, die entsprechenden Erweiterungen enthalten alle Certs, wenn bestimmt Software diese nicht abfragt, selbst schuld. Anbei, die Windos Crypto Engine fragt standardmäßig immer nach (außer sie hat eine noch gültige CRL gecacht). Wobei der Heise Artikel auch genzwertig ist, OCSP greift "unter der Decke" auch nur auf CRLs zu. mfg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.