Hallo

ich habe mir ein ssl-zertifikat erstellt. leider erhalte ich beim aufruf einer https-seite eine fehlermeldung, daß das zertifikat u.U. nicht vertrauenswürdig sei. vermutlich liegt das daran, daß ich es selbst signiert habe. wie kann ich dies umgehen? anmerkung: das zertifikat wird nur für den transfer zw. zwei (immer gleichen) maschinen mit den immer gleichen ip-addressen benutzt. insofern ist es nicht wichtig, ob es vertrauenswürdig ist oder nicht - mir geht es nur um die verschlüsselung.

danke, stefan

In dem Du das Zertifikat in dem entsprechenden Browser installierst.
Un als Vertrauenswürdig einstufst.

Viele Grüße aus Berlin

Moin!

insofern ist es nicht wichtig, ob es vertrauenswürdig ist oder nicht - mir geht es nur um die verschlüsselung.

Der Grund, der dahinter steckt: Jeder kann sich, so wie du, ein Zertifikat selbst machen und es auch selbst signieren. Also könnte jemand auch einfach einen Server aufsetzen, der sich als Server z.B. einer Online-Bank ausgibt und auch dieselben Seiten ausgibt, und Kunden loggen sich dann dort ein und geben ihre Daten unfreiwillig preis. So ein Szenario wäre durchaus für einen begrenzten Teil des Internets, beispielsweise für einen Provider, denkbar. Man müßte nur den DNS-Server mit der falschen IP zum echten Bankdomainnamen füttern, was im Grunde kein echtes Problem ist.

Die Kunden würden dann also Online-Banking mit dem falschen Server machen. Deshalb gibt es Signaturstellen, die sicherstellen (indem sie die Identität des Zertifikatsinhabers prüfen), dass derjenige, der vorgibt, die Bank zu sein, dies auch tatsächlich ist. Wobei so ein Zertifikat ja nur sicherstellt, dass das Zertifikat, was zur Signatur vorgelegt wurde, zum Inhaber der Domain paßt - das ist bei Domainfälschern wie oben beschrieben eben nicht der Fall.

Und damit die Kunden jetzt nicht blind in ihr Verderben rennen, wenn sie auf dem falschen Server landen, spuckt der Browser wenigstens eine Fehlermeldung aus, dass der Signierer des Zertifikats dem Browser unbekannt ist und deshalb die Authentizität des Servers nicht sichergestellt werden kann (wenn beim Online-Banking so eine Meldung kommt, hat man mit Sicherheit ein Problem, sofern man diese Meldung nicht ernst nimmt).

Für deine Anwendung ist das aber wahrscheinlich absolut irrelevant. Du willst nur Verschlüsselung, und die findet auch statt, wenn du die Meldung ignorierst und trotzdem weitermachst. Du kannst dir "irgendwie" auch deine Signatur in den Browser installieren (aber bitte nicht "Wie?" fragen - ich habe keine Ahnung) und so die Abfrage umgehen. Dann ist auch sichergestellt, dass dann niemand deinen Server imitieren kann - dann würde wieder diese Meldung erscheinen.

- Sven Rautenberg