Andreas Korthaus: Zertifikat

Beitrag lesen

SELF-Forum

Zertifikat

Andreas Korthaus
Informationen zu den Bewertungsregeln

Hallo!

Wenn du dir die Meldung richtig anschaust, dann wirst du feststellen,
dass das Zertifikat gültig ist und der angegebenen Name mit der Seite,
die du erreichen willst übereinstimmt.

Ja, aber das bringt mir genau gar nichts wenn ich demjenigen der das Zertifikat signiert hat nicht vertraue. Natürlich abgesehen von der funktionierenden Verschlüsselung. Sicher kann ich das Zertifikat manuell überprüfen, oder auf anderem Wege importieren... aber das ist im "normalen Geschäftsverkehr" im Internet in den seltensten Fällen praktikabel. Zertifikaten die von Verisign signiert wurden wird von >99% aller heute gängigen Browser vertraut.

Es wird nur bemängelt,
dass dem Zertifikat nicht vertraut wird und genau das ist meine Aussage.

Das ist ja auch richtig, aber Deine Aussage war:

Es wird sichergestellt,
dass der Rechner auf der anderen Seite der ist, für den er sich ausgibt.

Das wird eben nur dann sichergestellt, wenn man dem Zertifikat vertrauen kann. Angenommen ich trage auf Deinem Rechner in der /etc/hosts eine IP von mir für die Domain sparkasse.de ein, und installiere unter dieser IP einen Webserver mit Vhost für sparkasse.de mit einem Zertifikat, welches ich auf sparkasse.de ausstelle und selber signiere. Ist dann sichergestellt wenn Du sparkasse.de aufrufst, dass dieser Server der ist für den er sich ausgibt? Dann wird auch "nur" bemängelt, dass Du "meiner CA" nicht per default vertraust.

Zertifikatspfade werden auch nicht immer on the fly überprüft, soll
heißen, dass Verisign nur einmal den Antragssteller checkt, und zwar
bei der Austellung, nicht beim Aufbau der SSL Verbindung aber auch das
kann man irgendwo einstellen.

Ja, muss ja auch nicht. Das gute ist ja, dass normalerweise auch nur die Betreiber des entsprechenden SSL-Servers in den Besitz eines von einer vertrauenswürdigen CA signierten Zertifikats kommen können. Ich könnte also kein Zertifikat von Versign & Co. für sparkasse.de bekommen. Und so lange ich das nicht bekommen, bekommt jeder Besucher die bekannte Meldung, wenn ich per Zertifikat vorzugebe sparkasse.de zu sein.

Grüße
Andreas

--
SELFHTML Tipps & Tricks: http://aktuell.de.selfhtml.org/tippstricks/
Beitrag melden
Informationen zu den Bewertungsregeln