nicht angemeldet
Moin!
was ist mit der Zertifizierungsstelle beim SSL? Koennte das vielleicht auf die Existenz eines dritten Geraets hindeuten? - Und wie will man logisch ueberhaupt im Web Sicherheit implementieren ohne einer dritten Instanz?
Die dritte Instanz ist für SSL nicht zwingend notwendig.
Sie ist deswegen vorhanden, um SSL-Zertifikate auf den Webservern digital zu unterschreiben. Zusammen mit den in eigentlich allen Browsern installierten Zertifikaten dieser Stellen kann der Browser nicht nur die Verschlüsselung aktivieren, sondern automatisch auch die Authentizität des Servers feststellen. Denn nur der Server, der ist, wofür er sich ausgibt, wird eine gültige Unterschrift haben.
Definitiv wird aber zum Schlüsselaustausch keine dritte Stelle kontaktiert.
Und es ist auch problemlos möglich, ohne eine dritte Stelle eine eigene Unterschrift zu benutzen. Dann macht man damit eben seine eigene Zertifizierungsstelle auf. Das kann sich für den kleinen Anwenderkreis lohnen (dann installiert jeder der drei Zugriffsberechtigten das Zertifikat und weiß künftig, dass SSL-Kommunikation mit dem Server immer mit dem _echten_ Server stattfindet), oder auch für einen größeren Anwenderkreis (beispielsweise alle Mitarbeiter einer Firma). Es ist unpraktisch für die Weltbevölkerung als Großes. :)
War doch konkret. Oder geht's bei SSL nicht um Sicherheit? - Gewisse rhetorische Spaesschen und auch Fehler erbitte ich moeglichst wohlwollend aufzunehmen und zu bearbeiten.
SSL verschlüsselt und authentifiziert die zwei Kommunikationsteilnehmer. Denn auch auf Client-Seite kann ein Zertifikat bescheinigen, dass der Client der ist, für den er sich ausgibt. Der Server kann schon allein deswegen Zugriffe freigeben, ganz ohne Passwort.
Aber du bist in der Hinsicht unkonkret, als dass du immer wieder von "Sicherheit" sprichst, aber nicht deutlich machst, gegen welches Risiko du dich absichern willst. Sicherheit - wovor?
Du hast irgendwas von "SSL selber implementieren" gefaselt, obwohl die Notwendigkeit dazu nicht besteht. Warum selber machen? Welchen Vorteil hat das? Wärst du so schlau, wie tausende Kryptographie-Experten, die das System entworfen und getestet haben, um es besser zu machen? Vermutlich nicht. Warum also diese akademische Diskussion ohne Ziel? Die schwimmt nämlich in meinen Augen sehr ziellos im freien Raum umher und kommt nicht voran.
- Sven Rautenberg
"Beim Stuff für's Web gibts kein Material, was sonst das Zeugs ist, aus dem die Sachen sind."
(fastix®, 13. Oktober 2003, 02:26 Uhr -> </archiv/2003/10/60137/#m338340>)