Moin!

1. Server erhält von Zertifizierungsstelle ein öffentliches Zertifikat, indem auch ein public-key enthalten ist.

Das stimmt. Wobei man sich so eine Zertifizierungsstelle zu Testzwecken auch selbst einrichten kann und das Zertifikat selbst signieren kann. Der Browser würde hier allerdings eine Warnung ausgeben, was auch klar ist, denn wie vertrauensvoll ist für den Kunden eines Webshops wohl ein Zertifikat, das selbst ausgestellt wurde.

Gegenfrage: Wie vertrauenswuerdig sind die im Browser vorinstallierten Trustcenter? :)

Man kann fuer einige dieser Firmen mittlerweile behaupten, dass sie ihren Job schon mindestens einmal nicht richtig gemacht und Zertifikate unterschrieben haben, die bei sorgfaeltiger Pruefung niemals haetten unterschrieben werden duerfen. Sowas faellt natuerlich nur auf, wenn es bekannte Firmen trifft. Ein faelschlich ausgestelltes Zertifikat fuer "microsoft.com" ist mir noch so in Erinnerung.

Wie auffaellig wird das wohl sein, wenn man das Zertifikat irgendeines unbekannten Webshops falsch unterschreiben laesst?

- Sven Rautenberg