1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › BeA: Bundesrechtsanwaltskammer…

Warum darf das Zertifikat weiter Zertifikate signieren?

  1. Thema

Neues Thema Ansicht wechseln


  1. Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 23.12.17 - 20:56

    Ich meine Zertifikate haben selbst eine Flag um zu bestimmen ob sie weitere signieren dürfen. Ist die etwa auch noch falsch gesetzt?

    Ich finde das genannte Zertifikat leider nicht mehr um mir das anzusehen.

  2. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: xploded 23.12.17 - 22:22

    Weil der private Key bekannt ist.

  3. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 23.12.17 - 22:59

    xploded schrieb:
    --------------------------------------------------------------------------------
    > Weil der private Key bekannt ist.


    Das hat damit nichts zu tun... Nur weil der private Schlüssel bekannt ist, darf das Zertifikat noch lange keine weiteren Zertifikate signieren. Dafür muss das Zertifikat eine spezielle Flag enthalten.
    In diesem Anwendungsfall DARF diese gar nicht gesetzt sein. Die Flag zu setzen wäre der größte Fehler von allen die sich die Brak aktuell geleistet hat.



    2 mal bearbeitet, zuletzt am 23.12.17 23:00 durch RichardEb.

  4. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 01:09

    leider wurde das zertifikat nicht veröffentlich, sodass man nichts genaues weiß. was du grundsätzlich meinst, nennt sich "Basic Constraint". nachzulesen hier: https://tools.ietf.org/html/rfc5280#section-4.2.1.9 .

    ich weiß allerdings nicht, wie genau die firma das implementiert hat. grundsätzlich könnte es ausreichen, nur das zertifikat ohne basic constraint erweiterung bzw. mit einer solchen erweiterung, allerdings auf false gesetzt, zu installieren. allerdings weiß ich nicht, ob windows das akzeptiert. es wäre dann kein root zertifikat sondern ein self signed host zertifikat, das explizit installiert wurde.

    @golem: bitte entfernt den tor filter. danke.

  5. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Stefan76 24.12.17 - 01:40

    bjs schrieb:
    --------------------------------------------------------------------------------
    > leider wurde das zertifikat nicht veröffentlich, sodass man nichts genaues
    > weiß.

    Natürlich wurde das von der BRAK veröffentlicht, haben ja hunderte, wenn nicht tausende Anwälte bereits installiert und haben nun Panik.



    1 mal bearbeitet, zuletzt am 24.12.17 01:44 durch Stefan76.

  6. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 08:54

    bjs schrieb:
    --------------------------------------------------------------------------------
    > leider wurde das zertifikat nicht veröffentlich, sodass man nichts genaues
    > weiß. was du grundsätzlich meinst, nennt sich "Basic Constraint".
    > nachzulesen hier: tools.ietf.org#section-4.2.1.9.
    >
    > ich weiß allerdings nicht, wie genau die firma das implementiert hat.
    > grundsätzlich könnte es ausreichen, nur das zertifikat ohne basic
    > constraint erweiterung bzw. mit einer solchen erweiterung, allerdings auf
    > false gesetzt, zu installieren. allerdings weiß ich nicht, ob windows das
    > akzeptiert. es wäre dann kein root zertifikat sondern ein self signed host
    > zertifikat, das explizit installiert wurde.
    >
    > @golem: bitte entfernt den tor filter. danke.

    Ja es wird auch ohne CA flag als gültig akzeptiert. Es darf halt nur nichts mehr signieren

  7. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: xploded 24.12.17 - 09:37

    RichardEb schrieb:
    --------------------------------------------------------------------------------
    > xploded schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Weil der private Key bekannt ist.
    >
    > Das hat damit nichts zu tun... Nur weil der private Schlüssel bekannt ist,
    > darf das Zertifikat noch lange keine weiteren Zertifikate signieren. Dafür
    > muss das Zertifikat eine spezielle Flag enthalten.
    > In diesem Anwendungsfall DARF diese gar nicht gesetzt sein. Die Flag zu
    > setzen wäre der größte Fehler von allen die sich die Brak aktuell geleistet
    > hat.

    Ach so. Dachte immer, eine CA braucht zum Zertifizieren auch ihren privaten Key. Muss ich irgendwo etwas falsch verstanden haben.

  8. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 09:44

    Mir wurde das Zertifikat gerade zugeschickt: Vielen Dank dafür.

    Ja die Flag ist tatsächlich gesetzt und nein sie darf für diesen Anwendungsfall gar nicht gesetzt sein. Das was die Brak erreichen will funktioniert ohne die Flag...halt nur eine Millionen mal sicherer. Trotzdem wäre das Vorgehen noch nicht sicher & ok gewesen.

  9. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 09:46

    xploded schrieb:
    --------------------------------------------------------------------------------
    > RichardEb schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > xploded schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Weil der private Key bekannt ist.
    > >
    > >
    > > Das hat damit nichts zu tun... Nur weil der private Schlüssel bekannt
    > ist,
    > > darf das Zertifikat noch lange keine weiteren Zertifikate signieren.
    > Dafür
    > > muss das Zertifikat eine spezielle Flag enthalten.
    > > In diesem Anwendungsfall DARF diese gar nicht gesetzt sein. Die Flag zu
    > > setzen wäre der größte Fehler von allen die sich die Brak aktuell
    > geleistet
    > > hat.
    >
    > Ach so. Dachte immer, eine CA braucht zum Zertifizieren auch ihren privaten
    > Key. Muss ich irgendwo etwas falsch verstanden haben.

    Sie braucht zum Zertifizieren auch ihren privaten Schlüssel und dieser muss auch geheim sein. Aber nicht jedes Zertifikat darf einfach so weitere neue Zertifikate unterschreiben. Das dürfen nur spezielle mit einer speziellen Eigenschaft. In diesem Fall DARF die nicht gesetzt sein

  10. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: xploded 24.12.17 - 10:00

    RichardEb schrieb:
    --------------------------------------------------------------------------------

    > Sie braucht zum Zertifizieren auch ihren privaten Schlüssel und dieser muss
    > auch geheim sein. Aber nicht jedes Zertifikat darf einfach so weitere neue
    > Zertifikate unterschreiben. Das dürfen nur spezielle mit einer speziellen
    > Eigenschaft. In diesem Fall DARF die nicht gesetzt sein

    OHNE den privaten Key wäre es vollkommen egal, wie das Flag gesetzt wäre.

  11. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 10:21

    xploded schrieb:
    --------------------------------------------------------------------------------
    > RichardEb schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > Sie braucht zum Zertifizieren auch ihren privaten Schlüssel und dieser
    > muss
    > > auch geheim sein. Aber nicht jedes Zertifikat darf einfach so weitere
    > neue
    > > Zertifikate unterschreiben. Das dürfen nur spezielle mit einer
    > speziellen
    > > Eigenschaft. In diesem Fall DARF die nicht gesetzt sein
    >
    > OHNE den privaten Key wäre es vollkommen egal, wie das Flag gesetzt wäre.


    Wäre es dann eigentlich auch nicht. Zertifikat die irgendwo zur Anwendung kommen dürfen diese Flag nicht haben. Nur Zertifikat die ausschließlich als CA arbeiten dürfen die Flag besitzen. Alles andere wäre unsicher.

  12. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: xploded 24.12.17 - 10:27

    RichardEb schrieb:
    --------------------------------------------------------------------------------
    > xploded schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > RichardEb schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > >
    > > > Sie braucht zum Zertifizieren auch ihren privaten Schlüssel und dieser
    > > muss
    > > > auch geheim sein. Aber nicht jedes Zertifikat darf einfach so weitere
    > > neue
    > > > Zertifikate unterschreiben. Das dürfen nur spezielle mit einer
    > > speziellen
    > > > Eigenschaft. In diesem Fall DARF die nicht gesetzt sein
    > >
    > > OHNE den privaten Key wäre es vollkommen egal, wie das Flag gesetzt
    > wäre.
    >
    > Wäre es dann eigentlich auch nicht. Zertifikat die irgendwo zur Anwendung
    > kommen dürfen diese Flag nicht haben. Nur Zertifikat die ausschließlich als
    > CA arbeiten dürfen die Flag besitzen. Alles andere wäre unsicher.

    Nur wäre dann die Meldung ganz anders, dann würde es heißen: Eine potentielle Hintertür, wenn jemand in Besitz des privates Keys kommt. Das ist dann schon ein deutlicher Unterschied.
    Unterm Strich ist und bleibt es Murks. Sie bauen beim ersten Mal scheiße und bekommen das Zertifikat gesperrt. Dann bauen Sie die gleiche Scheiße nochmal und verlangen vom Kunden, die lokalen Warnungen, die aus gutem Grund erscheinen, zu ignorieren.
    Das kann doch nicht nur Dummheit und Unwissenheit sein.

  13. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 12:09

    hier wurde es nicht veröffentlich. :-) und die panik kommt ja nicht von der veröffentlichung des zertifikats sondern des private keys.



    1 mal bearbeitet, zuletzt am 24.12.17 12:10 durch bjs.

  14. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 12:12

    die frage ist nun, ob das zertifikat nun den ca wert auf true oder false gesetzt hat.

  15. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: LearnYourJob 24.12.17 - 19:45

    bjs schrieb:
    --------------------------------------------------------------------------------
    > die frage ist nun, ob das zertifikat nun den ca wert auf true oder false
    > gesetzt hat.

    Die Frage ist im Artikel selbst hinreichend beantwortet und zwar mit JA

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Verkehrsbetriebe Karlsruhe GmbH, Karlsruhe
  2. Stromnetz Hamburg GmbH, Hamburg
  3. STADT ERLANGEN, Erlangen
  4. Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de