niklaskamenisch: Zertifikate quasi Vererben

hi,

ich besitze seit einiger Zeit ein SSL-Zertifikat was bei einem großen Anbieter gekauft wurde und daher in den gängigen Browsern usw. funktioniert ohne Nachfragen => Da das direkte Stammzertifikat hinterlegt ist.
=> Seite a hat Zertifikat a Signiert von b.
Der Browser hat das Stammzertifikat (Public-Key) von b => alles glücklich

Nun ist es ja so, dass b auch nur ein normales Public/Privat-Schlüsselpaar hat und man eben den Public-Schlüssel bei sich hat. Mein Public-Key wurde mit dem Privat-Key von b signiert und damit genießt mein Schlüsselpaar das volle vertrauen. Soweit alles grün und glücklich. Der Browser brauch nur im eigenen Hof schauen ob das passt.

----------
Nun zu meiner Frage, bzw meinem Gedankengang:
----------

Wenn ich nun einen Schlüssel von Kunde x bekomme. Dann kann ich ohne Probleme diesen mit meinem Privaten-Key signieren. Doch kapieren die Browser diesen Sachverhalt überhaupt?

Seite x hat Zertifikat x welches von a Signiert wurde.
Seite a hat Zertifikat a welches von b Signiert wurde.
b = die teure CA

Er müsste ja quasi aus dem Zertifkat x auslesen, dass ich das Signiert habe. Nun müsste er, ich vermute einfach mal, über die Domain auf meinem Server nach dem Public-Key fragen. Von diesem liest er wiederum, dass der von b Signiert wurde. Und b kennt er ja durch die eigenen Stammzertifikate.

Aber macht ein Browser dieses Kaskadierte-Prüfen überhaupt?

  • Wenn ja, wieviele Stufen würde er da überhaupt erlauben?
  • Wenn ja, kann er diese Zertifikate eigentlich cachen oder muss er Sie immer neu holen?

Natürlich müsste ich, fals das geht und ich es nutzen wollte, erst mal noch prüfen, ob das erlaubt wäre mit meinem Zertifikat.

Weil die hohen Gebühren jedes Jahr will man ja doch auch nicht haben ... Grade als kleiner Shop-Seiten betreiber, dürfte das abschrecken. Notwendig wäre es aber.

Bei den ganzen FB-Anwendungen kann ich zum Glück über Sub-Domains bei mir das ganze regeln. Da sieht man ja nicht unbedingt sofort die "fremde" Url ;)

Gruß Niklas

--
Man muss nicht alles wissen, man sollte aber wissen, wo das nicht gewusste zu finden ist.
  1. Moin!

    Wenn ich nun einen Schlüssel von Kunde x bekomme. Dann kann ich ohne Probleme diesen mit meinem Privaten-Key signieren. Doch kapieren die Browser diesen Sachverhalt überhaupt?

    Nein, tun sie nicht. Deinem Zertifikat müsste erlaubt worden sein, weitere Zertifikate valide zu signieren - das wird nicht der Fall sein.

    Denn wenn es so wäre, könntest du ja tatsächlich eine eigene CA aufmachen. Das bedeutet: Die dich zertifizierende CA hat die Verantwortung für deine CA, die sie dir damit zur Verfügung stellen würde. Denn sie unterschreibt dir ja sozusagen blanko, dass du weiteren Interessenten korrekte Zertifikate ausstellst. Sowas wird sie nur zulassen, wenn du wenigstens ein klein wenig mehr Aufwand hinsichtlich deiner Vertrauenswürdigkeit und deinen Signaturprozessen investierst, als der "ehrliche Ahmed" bei seiner Bewerbung zur Aufnahme seiner CA in den Firefox.

    - Sven Rautenberg

    1. hi,

      Moin!

      Wenn ich nun einen Schlüssel von Kunde x bekomme. Dann kann ich ohne Probleme diesen mit meinem Privaten-Key signieren. Doch kapieren die Browser diesen Sachverhalt überhaupt?

      Nein, tun sie nicht. Deinem Zertifikat müsste erlaubt worden sein, weitere Zertifikate valide zu signieren - das wird nicht der Fall sein.

      Denn wenn es so wäre, könntest du ja tatsächlich eine eigene CA aufmachen. Das bedeutet: Die dich zertifizierende CA hat die Verantwortung für deine CA, die sie dir damit zur Verfügung stellen würde. Denn sie unterschreibt dir ja sozusagen blanko, dass du weiteren Interessenten korrekte Zertifikate ausstellst. Sowas wird sie nur zulassen, wenn du wenigstens ein klein wenig mehr Aufwand hinsichtlich deiner Vertrauenswürdigkeit und deinen Signaturprozessen investierst, als der "ehrliche Ahmed" bei seiner Bewerbung zur Aufnahme seiner CA in den Firefox.

      Wäre so meine Überlegung gewesen ... Zumindest für meine Kunden ... naja wird eben nichts drauß ^^ Hab das aber leider auch bisher schon genau so verstanden gehabt ...

      • Sven Rautenberg

      Gruß Niklas

      --
      Man muss nicht alles wissen, man sollte aber wissen, wo das nicht gewusste zu finden ist.