Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › BeA: Bundesrechtsanwaltskammer…

Warum darf das Zertifikat weiter Zertifikate signieren?

  1. Thema

Neues Thema Ansicht wechseln


  1. Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: RichardEb 23.12.17 - 20:56

    Ich meine Zertifikate haben selbst eine Flag um zu bestimmen ob sie weitere signieren dürfen. Ist die etwa auch noch falsch gesetzt?

    Ich finde das genannte Zertifikat leider nicht mehr um mir das anzusehen.

  2. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: xploded 23.12.17 - 22:22

    Weil der private Key bekannt ist.

  3. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: RichardEb 23.12.17 - 22:59

    xploded schrieb:
    --------------------------------------------------------------------------------
    > Weil der private Key bekannt ist.


    Das hat damit nichts zu tun... Nur weil der private Schlüssel bekannt ist, darf das Zertifikat noch lange keine weiteren Zertifikate signieren. Dafür muss das Zertifikat eine spezielle Flag enthalten.
    In diesem Anwendungsfall DARF diese gar nicht gesetzt sein. Die Flag zu setzen wäre der größte Fehler von allen die sich die Brak aktuell geleistet hat.



    2 mal bearbeitet, zuletzt am 23.12.17 23:00 durch RichardEb.

  4. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 01:09

    leider wurde das zertifikat nicht veröffentlich, sodass man nichts genaues weiß. was du grundsätzlich meinst, nennt sich "Basic Constraint". nachzulesen hier: https://tools.ietf.org/html/rfc5280#section-4.2.1.9 .

    ich weiß allerdings nicht, wie genau die firma das implementiert hat. grundsätzlich könnte es ausreichen, nur das zertifikat ohne basic constraint erweiterung bzw. mit einer solchen erweiterung, allerdings auf false gesetzt, zu installieren. allerdings weiß ich nicht, ob windows das akzeptiert. es wäre dann kein root zertifikat sondern ein self signed host zertifikat, das explizit installiert wurde.

    @golem: bitte entfernt den tor filter. danke.

  5. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Stefan76 24.12.17 - 01:40

    bjs schrieb:
    --------------------------------------------------------------------------------
    > leider wurde das zertifikat nicht veröffentlich, sodass man nichts genaues
    > weiß.

    Natürlich wurde das von der BRAK veröffentlicht, haben ja hunderte, wenn nicht tausende Anwälte bereits installiert und haben nun Panik.



    1 mal bearbeitet, zuletzt am 24.12.17 01:44 durch Stefan76.

  6. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: RichardEb 24.12.17 - 08:54

    bjs schrieb:
    --------------------------------------------------------------------------------
    > leider wurde das zertifikat nicht veröffentlich, sodass man nichts genaues
    > weiß. was du grundsätzlich meinst, nennt sich "Basic Constraint".
    > nachzulesen hier: tools.ietf.org#section-4.2.1.9.
    >
    > ich weiß allerdings nicht, wie genau die firma das implementiert hat.
    > grundsätzlich könnte es ausreichen, nur das zertifikat ohne basic
    > constraint erweiterung bzw. mit einer solchen erweiterung, allerdings auf
    > false gesetzt, zu installieren. allerdings weiß ich nicht, ob windows das
    > akzeptiert. es wäre dann kein root zertifikat sondern ein self signed host
    > zertifikat, das explizit installiert wurde.
    >
    > @golem: bitte entfernt den tor filter. danke.

    Ja es wird auch ohne CA flag als gültig akzeptiert. Es darf halt nur nichts mehr signieren

  7. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: xploded 24.12.17 - 09:37

    RichardEb schrieb:
    --------------------------------------------------------------------------------
    > xploded schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Weil der private Key bekannt ist.
    >
    > Das hat damit nichts zu tun... Nur weil der private Schlüssel bekannt ist,
    > darf das Zertifikat noch lange keine weiteren Zertifikate signieren. Dafür
    > muss das Zertifikat eine spezielle Flag enthalten.
    > In diesem Anwendungsfall DARF diese gar nicht gesetzt sein. Die Flag zu
    > setzen wäre der größte Fehler von allen die sich die Brak aktuell geleistet
    > hat.

    Ach so. Dachte immer, eine CA braucht zum Zertifizieren auch ihren privaten Key. Muss ich irgendwo etwas falsch verstanden haben.

  8. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: RichardEb 24.12.17 - 09:44

    Mir wurde das Zertifikat gerade zugeschickt: Vielen Dank dafür.

    Ja die Flag ist tatsächlich gesetzt und nein sie darf für diesen Anwendungsfall gar nicht gesetzt sein. Das was die Brak erreichen will funktioniert ohne die Flag...halt nur eine Millionen mal sicherer. Trotzdem wäre das Vorgehen noch nicht sicher & ok gewesen.

  9. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: RichardEb 24.12.17 - 09:46

    xploded schrieb:
    --------------------------------------------------------------------------------
    > RichardEb schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > xploded schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Weil der private Key bekannt ist.
    > >
    > >
    > > Das hat damit nichts zu tun... Nur weil der private Schlüssel bekannt
    > ist,
    > > darf das Zertifikat noch lange keine weiteren Zertifikate signieren.
    > Dafür
    > > muss das Zertifikat eine spezielle Flag enthalten.
    > > In diesem Anwendungsfall DARF diese gar nicht gesetzt sein. Die Flag zu
    > > setzen wäre der größte Fehler von allen die sich die Brak aktuell
    > geleistet
    > > hat.
    >
    > Ach so. Dachte immer, eine CA braucht zum Zertifizieren auch ihren privaten
    > Key. Muss ich irgendwo etwas falsch verstanden haben.

    Sie braucht zum Zertifizieren auch ihren privaten Schlüssel und dieser muss auch geheim sein. Aber nicht jedes Zertifikat darf einfach so weitere neue Zertifikate unterschreiben. Das dürfen nur spezielle mit einer speziellen Eigenschaft. In diesem Fall DARF die nicht gesetzt sein

  10. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: xploded 24.12.17 - 10:00

    RichardEb schrieb:
    --------------------------------------------------------------------------------

    > Sie braucht zum Zertifizieren auch ihren privaten Schlüssel und dieser muss
    > auch geheim sein. Aber nicht jedes Zertifikat darf einfach so weitere neue
    > Zertifikate unterschreiben. Das dürfen nur spezielle mit einer speziellen
    > Eigenschaft. In diesem Fall DARF die nicht gesetzt sein

    OHNE den privaten Key wäre es vollkommen egal, wie das Flag gesetzt wäre.

  11. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: RichardEb 24.12.17 - 10:21

    xploded schrieb:
    --------------------------------------------------------------------------------
    > RichardEb schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > Sie braucht zum Zertifizieren auch ihren privaten Schlüssel und dieser
    > muss
    > > auch geheim sein. Aber nicht jedes Zertifikat darf einfach so weitere
    > neue
    > > Zertifikate unterschreiben. Das dürfen nur spezielle mit einer
    > speziellen
    > > Eigenschaft. In diesem Fall DARF die nicht gesetzt sein
    >
    > OHNE den privaten Key wäre es vollkommen egal, wie das Flag gesetzt wäre.


    Wäre es dann eigentlich auch nicht. Zertifikat die irgendwo zur Anwendung kommen dürfen diese Flag nicht haben. Nur Zertifikat die ausschließlich als CA arbeiten dürfen die Flag besitzen. Alles andere wäre unsicher.

  12. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: xploded 24.12.17 - 10:27

    RichardEb schrieb:
    --------------------------------------------------------------------------------
    > xploded schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > RichardEb schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > >
    > > > Sie braucht zum Zertifizieren auch ihren privaten Schlüssel und dieser
    > > muss
    > > > auch geheim sein. Aber nicht jedes Zertifikat darf einfach so weitere
    > > neue
    > > > Zertifikate unterschreiben. Das dürfen nur spezielle mit einer
    > > speziellen
    > > > Eigenschaft. In diesem Fall DARF die nicht gesetzt sein
    > >
    > > OHNE den privaten Key wäre es vollkommen egal, wie das Flag gesetzt
    > wäre.
    >
    > Wäre es dann eigentlich auch nicht. Zertifikat die irgendwo zur Anwendung
    > kommen dürfen diese Flag nicht haben. Nur Zertifikat die ausschließlich als
    > CA arbeiten dürfen die Flag besitzen. Alles andere wäre unsicher.

    Nur wäre dann die Meldung ganz anders, dann würde es heißen: Eine potentielle Hintertür, wenn jemand in Besitz des privates Keys kommt. Das ist dann schon ein deutlicher Unterschied.
    Unterm Strich ist und bleibt es Murks. Sie bauen beim ersten Mal scheiße und bekommen das Zertifikat gesperrt. Dann bauen Sie die gleiche Scheiße nochmal und verlangen vom Kunden, die lokalen Warnungen, die aus gutem Grund erscheinen, zu ignorieren.
    Das kann doch nicht nur Dummheit und Unwissenheit sein.

  13. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 12:09

    hier wurde es nicht veröffentlich. :-) und die panik kommt ja nicht von der veröffentlichung des zertifikats sondern des private keys.



    1 mal bearbeitet, zuletzt am 24.12.17 12:10 durch bjs.

  14. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 12:12

    die frage ist nun, ob das zertifikat nun den ca wert auf true oder false gesetzt hat.

  15. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: LearnYourJob 24.12.17 - 19:45

    bjs schrieb:
    --------------------------------------------------------------------------------
    > die frage ist nun, ob das zertifikat nun den ca wert auf true oder false
    > gesetzt hat.

    Die Frage ist im Artikel selbst hinreichend beantwortet und zwar mit JA

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ING-DiBa AG, Nürnberg, Frankfurt
  2. Techniker Krankenkasse, Hamburg
  3. 1WorldSync GmbH, Köln
  4. Hays AG, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,99€
  2. 2,99€
  3. 4,99€
  4. 2,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobile-Games-Auslese: Magischer Dieb trifft mogelnden Doktor
Mobile-Games-Auslese
Magischer Dieb trifft mogelnden Doktor

Ein Dieb mit Dolch in Daggerhood, dazu ein (historisch verbürgter) Arzt in Astrologaster sowie wunderschön aufbereitetes Free-to-Play-Mittelalter in Marginalia Hero: Golem.de stellt die spannendsten neuen Mobile Games vor.
Von Rainer Sigl

  1. Mobile-Games-Auslese Rollenspiel-Frühling mit leichten Schusswechseln
  2. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS
  3. Indiegames Stardew Valley kommt auf Android

2FA mit TOTP-Standard: GMX sichert Mail und Cloud mit zweitem Faktor
2FA mit TOTP-Standard
GMX sichert Mail und Cloud mit zweitem Faktor

Auch GMX-Kunden können nun ihre E-Mails und Daten in der Cloud mit einem zweiten Faktor schützen. Bei Web.de soll eine Zwei-Faktor-Authentifizierung bald folgen. Der eingesetzte TOTP-Standard hat aber auch Nachteile.
Von Moritz Tremmel


    Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
    Wolfenstein Youngblood angespielt
    "Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

    E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
    Von Peter Steinlechner


      1. Videostreaming: Netflix und Amazon Prime Video locken mehr Kunden
        Videostreaming
        Netflix und Amazon Prime Video locken mehr Kunden

        Der Videostreamingmarkt in Deutschland wächst weiter. Vor allem Netflix und Amazon Prime Video profitieren vom Zuwachs in diesem Bereich.

      2. Huawei: Werbung auf Smartphone-Sperrbildschirmen war ein Versehen
        Huawei
        Werbung auf Smartphone-Sperrbildschirmen war ein Versehen

        Besitzer von Huawei-Smartphones sollten keine Werbung mehr auf dem Sperrbildschirm sehen. Der chinesische Hersteller hatte kürzlich Werbebotschaften auf seinen Smartphones ausgeliefert - ungeplant.

      3. TV-Serie: Sky sendet Chernobyl-Folge mit Untertiteln einer Fanseite
        TV-Serie
        Sky sendet Chernobyl-Folge mit Untertiteln einer Fanseite

        Der Pay-TV-Sender Sky hat die Serie Chernobyl in der Schweiz mit Untertiteln ausgestrahlt, die von einer Fan-Community erstellt wurden. Wie die inoffiziellen Untertitelspur in die Serie gelangt ist, ist unklar.


      1. 12:24

      2. 12:09

      3. 11:54

      4. 11:33

      5. 14:32

      6. 12:00

      7. 11:30

      8. 11:00