Markus Ueberall: Einbettung/Referenzierung von Root-Zertifikaten fuer signierte Applets / Assozia

SELF-Forum

Einbettung/Referenzierung von Root-Zertifikaten fuer signierte Applets / Assozia

Markus Ueberall
Informationen zu den Bewertungsregeln

VORGESCHICHTE:
Ich habe (mithilfe von "OpenSSL" und Netscapes "signtool") ein Applet mit einer RSA-Signatur versehen, welche durch ein selbsterstelltes Root-Zertifikat verifizierbar ist (vgl. Artikel in der iX 7/2000, S. 159ff);  sofern letzteres in die Browser-Datenbank (IE/Communicator) aufgenommen wurde, hat das geladene Applet (nach Bestaetigung der Sicherheitsabfrage durch den Benutzer) die gleichen
Rechte wie eine Applikation (Vollstaendige Umgehung der Sandbox).

PROBLEM:
Auf der Seite mit dem Applet ist auch das Root-Zertifikat referenziert.
In einigen Umgebungen (NT 4.0 SP6a/IE 5.0; Linux "Air"/v7.0-2) ist der verwendeten Dateiendung ".der" (Zertifikat im DER-Format) kein
entspr. Typ/Handler zugeordnet, d.h. der Browser erkennt u.U. den
Dateiinhalt nicht als Zertifikat (unter NT fuehrt Umbenennung in ".cer" zum Erfolg;  unter Win98/IE 5.5 ist auch ".der" registriert), wenn die Datei mittels <A HREF=...> eingebunden wird.

"TEIL"LOESUNG:
Ueber den Umweg eines Webservers (bspw. Apache unter Linux) ist es natuerlich kein Problem, die Dateeindung mit dem entspr.
MIME-Typ "application/x-509-ca-cert" zu verknuepfen -- die Seite
soll aber auch lokal (von CDROM) abrufbar sein (_ohne_ Rueckgriff auf einen Webserver)!

ERFOLGLOSER ANSATZ:
Zweite Idee war das "Einbetten" des Zertifikats entsprechend dem SELFHTML-Beispiel mit dem Film fuer IE/Communicator:

<OBJECT DATA="CAcert.der" TYPE="application/x-x509-ca-cert"><EMBED SRC="CAcert.der" TYPE="application/x-x509-ca-cert"></OBJECT>

[Anmerkung: Unter NT war "application/pkix-cert" mit ".cer" assoziiert, diese Versuchs-Kombination funktionierte auch nicht]
Der MIME-Typ wurde auf _diesem_ Weg jedoch _nicht_ erkannt (ueber
den Webserver (s.o.) "funktionierte" er unter Linux/Communicator, hier ging jetzt nur das Plugin-Such-Fenster auf)

FRAGEN:
(1) Meinem Verstaendnis nach sollte das "TYPE"-Attribut fuer ein beliebig benanntes referenziertes Objekt genau dieselbe Funktion haben wie eine Verknuepfung einer Dateiendung mit einem Dateityp -- oder ist dem nicht so?
(2) Gibt es eine andere Moeglichkeit, welche moeglichst systemunabh. arbeitet (HTML-basiert waere optimal)?

Beitrag melden
Informationen zu den Bewertungsregeln