Hallo

@@Auge,

Der Betreiber des Webservers erstellt die Schlüssel, damit hat er aber noch kein Zertifikat. Ohne letzteres vertrauen die Browser der verschlüsselten Verbindung nicht, da sie dann von einem Angriff ausgehen.

OK, das heißt ich brauche IMMER ein Zertifikat von einem Drittanbieter wenn ich verschlüsselt übertragen möchte.

Nein, du könntest auch ein selbst erstelltes Zertifikat benutzen, das willst du aber aus praktischen Erwägungen nicht. Die Browser machen es dem Nutzer nämlich ungemein schwer, Zertifikaten, die sie selbst nicht als sicher ansehen, zu vertrauen. Fernab von der Verwendung für verschlüsselte Verbindungen im Browser gibt es aber andere Anwendungszwecke für eigene Zertifikate, bei denen es keine Rolle spielt, ob sie von einer Stelle ausgestellt oder beglaubigt wurden, denen Browserhersteller trauen. Also ja, für einige Zwecke sind selbst erstellte Zertifikate benutzbar.

Wenn mir IMMER ein Zertifikat von einem Drittanbieter vorliegt liegt doch auch IMMER eine Verifizierung des Inhabers der URL vor, damit könnte doch eigentlch auch IMMER der Name des Inhaber zusätzlich zum grünen Schloss angegeben werden, es liegt ja IMMER eine Verifzierung vor. Warum ist das in der Praxis nicht so, warum wird z.B. bei selfhtml nicht "selfhml" als Inhaber in der Adresszeile vom Browser angeben, obwohl eine Verifzierung von selfhtml erfolgt ist?

Wie schon gesagt, werden für den grünen Balken neben der Prüfung der Identität des Antragstellers zusätzliche Prüfungen durchgeführt. Die muss man zusätzlich bezahlen. Wenn man das nicht will, hat man ein Zertifikat, das eine verschlüsselte Verbindung des Browsers mit einem Webserver ermöglicht, aber keine zusätzliche Bestätigung, dass man man selbst ist. Für weitere Details befrage bitte eine Zertifizierungsstelle. Die sollten wissen, was sie warum machen.

Aktuell kann man in einigen Verdachtsfällen die Vorgabe des browsers überstimmen und einem für den Browser nicht vertrauenswürdigen Zertifikat vertrauen, aber ich würde mich nicht darauf verlassen wollen, dass es dabei bleibt.

Wie würde man denn ein Zertifikat erstellen das als nicht vertrauenswürdig eingestuft wird?

Man kann Zertifikate wie gesagt auch selbst erstellen. Man hat dann aber keine Zertifikatskette, die zu Zertifierungsstellen führt, denen die Browser vertrauen. Das Zertifikat kann man für andere Zwecke als der Verschlüsselung einer Verbindung im Browser genre verwenden, im Browser fehlt aber die Vertrauensstellung, Also wird es dort (mindestens einmal) angemeckert.

Zudem muss man sich bei einem eigenen Zertifikat um dessen Aktualisierung kümmern, schließlich hat es ein Ablaufdatum. Mir selbst sind schon ein paar Seiten mit abgelaufenen Zertifikaten untergekommen (üblicherweise kümmert sich der Hoster darum ond doch passiert sowas!). Auch das wird von den Browsern bemängelt und üblicherweise kann man ein abgelaufenes Zertifikat nicht akzeptieren und die Seite bleibt bis auf die Fehlermeldung leer.

Tschö, Auge