Firefox 3 und die Sicherheitszertifikate
Gunther
- meinung
Hallo Selfgemeinde!
Ich möchte gerne mal ein paar "Experten-Tipps" einholen zu einer Problematik, die in letzter Zeit immer häufiger auftritt. Und zwar geht es um die (recht rigorose) Sicherheitswarnung im FF3.
Da man diese nur mit 'OK' bestätigen kann, hindert sie einen erstmal am Betreten der gewünschten Seite.
Nun kann es ja die verschiedensten Ursachen haben, warum der FF meckert. Sei es u.a. weil
Mir ist auch durchaus bekannt, wie ich trotzdem auf die jeweilige Seite gelange (indem man im Zertifikat-Manager eine Ausnahme hinzufügt), allerdings ist das zum einen recht lästig und zum anderen weiß *ich* ja letztendlich auch nicht, ob ich der jeweiligen (vermeintlichen) Seite nun wirklich vertrauen kann/ sollte. Denn ich sehe mich bspw. außer Stande, irgendwelche Angaben aus einem solchen Zertifikat in irgendeiner Weise zu überprüfen/ validieren.
Und ich würde auch mal stark annehmen, dass der Großteil der Internetnutzer nicht mal den Unterschied zwischen selbstsignierten und von einer "offiziellen" Zertifizierungsstelle signierten Zertifikaten erkennt.
Auf der anderen Seite sehe ich diese ganze "Zertifiziererei" auch überwiegend (zumindest im Bereich der privaten Websites) als "Geldmacherei" an, und ärgere mich bspw. darüber, dass selbst eine Mozilla Foundation solche Projekte wie CAcert immer noch nicht unterstützt, indem es diese im FF unter den Zertifierzungsstellen einträgt!
Ich kenne persönlich mehrere User, die nicht sehr bedarft im Umgang mit ihrem Browser sind. Für solche Leute ist das erforderliche Handling des FF 3 schon zuviel. Lieber verzichten sie dann auf den Besuch der Seite.
Ist mir da im Bezug auf die Konfiguration/ das Handling des FF3 etwas entgangen, oder ist das wirklich so "unkomfortabel"?
Wird so nicht eher das Gegenteil einer möglichst sicheren Übertragung von Daten im Web erreicht?
Hier besteht imho noch ein enormer Nachholbedarf.
Für eure Meinung zum Thema meinen besten Dank im Voraus.
Gruß Gunther
Ist mir da im Bezug auf die Konfiguration/ das Handling des FF3 etwas entgangen, oder ist das wirklich so "unkomfortabel"?
Das Zertifikat soll zeigen, dass die Seiteninhalte tatsächlich von dem stammen, der im Zertifikat angegeben ist. Wenn das nicht der Fall ist (wie im von dir beschriebenen Fall), scheint irgendwas faul zu sein und dann find ich es auch ok wenn der Benutzer darauf hingewiesen wird.
Ich weiß nicht ob man das umgehen kann, ich glaub nicht. Ich frage mich aber auch ob man den umgehen können sollte. Eigentlich ja nicht, denn sonst sind die Zertifikate überflüssig.
Lieber verzichten sie dann auf den Besuch der Seite.
Es liegt ja am Inhaber der Seite, diese entweder ohne Zertifikat benutzbar zu machen, oder sich ein gültiges Zertifikat mit bekanntem Herausgeber zu besorgen.
Wird so nicht eher das Gegenteil einer möglichst sicheren Übertragung von Daten im Web erreicht?
Warum dieses?
Hi!
»» Ist mir da im Bezug auf die Konfiguration/ das Handling des FF3 etwas entgangen, oder ist das wirklich so "unkomfortabel"?
Das Zertifikat soll zeigen, dass die Seiteninhalte tatsächlich von dem stammen, der im Zertifikat angegeben ist. Wenn das nicht der Fall ist (wie im von dir beschriebenen Fall), scheint irgendwas faul zu sein und dann find ich es auch ok wenn der Benutzer darauf hingewiesen wird.
Hinweisen ja - aber eine reine Meldungsbox, die man lediglich mit OK bestätigen kann und anschließend erstmal in die Tiefen der Einstellungen abtauchen muss, ist nicht gerade das, was ich unter Benutzerfreundlichkeit verstehe. Dass es auch anders geht, zeigt ja bspw. Opera (andere habe ich in dem Zusammenhang nicht getestet).
Ich weiß nicht ob man das umgehen kann, ich glaub nicht. Ich frage mich aber auch ob man den umgehen können sollte. Eigentlich ja nicht, denn sonst sind die Zertifikate überflüssig.
Wie man es umgehen kann, habe ich doch bereits geschrieben. Ist denn eine Seite auf einmal nicht mehr vertrauenswürdig, nur weil das Zertifikat vor 5 Tagen abgelaufen ist und der Sitebetreiber es noch nicht erneuert hat? Oder wenn ich lediglich Infos bspw. in einem Forum nachlesen will, und der Sitebetreiber dieses grundsätzlich über https laufen hat, warum kann ich dann nicht "bequem" per vorgegebener Option versuchen, ob der Inhalt nicht auch "normal" über http zu bekommen ist (in 99% der Fälle ist das nämlich so)?
»» Lieber verzichten sie dann auf den Besuch der Seite.
Es liegt ja am Inhaber der Seite, diese entweder ohne Zertifikat benutzbar zu machen, oder sich ein gültiges Zertifikat mit bekanntem Herausgeber zu besorgen.
Ja, natürlich. Es gibt so viele Dinge, die am Inhaber einer Seite liegen (Webstandards z.B.). Den Zugang zu nicht validen Seiten erschwert der FF aber ja bspw. auch nicht. Und gerade bei so einer "sensiblen" Sache wie den Sicherheitszertifikaten werden "unerfahrene" Anwender (deren Anzahl man nicht unterschätzen sollte) dermaßen vor den Koffer gehauen?
»» Wird so nicht eher das Gegenteil einer möglichst sicheren Übertragung von Daten im Web erreicht?
Warum dieses?
Weil so diverse Anwender ggf. Ausnahme über Ausnahme in ihren Zertifikats-Manager einfügen (um Seiten erstmal überhaupt betreten zu können), deren Vertrauenswürdigkeit sie nicht einschätzen können (wie auch)?
Ich halte diese ganze Zertifizierei wie gesagt für reine Geldmacherei oder noch deutlicher gesagt für Abzocke!
Nur wenn ich als kleiner privater Site-Admin meinen Besuchern eine verschlüsselte Übertragung ihrer Daten (bspw. Login Daten für ein Forum o.ä.) anbieten möchte, dann muss ich für eine wahnsinns Kohle so ein Zertifikat von Verisign & Co. kaufen, oder meine Besucher werden durch die tolle Meldung des Firefox gleich abgeschreckt und kommen nie wieder, weil dieser selbst dann dieses tolle Meldungsfenster ausspuckt, wenn ich bspw. ein Zertifikat von CAcert habe!
Gruß Gunther