1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › BeA: Bundesrechtsanwaltskammer…

Warum darf das Zertifikat weiter Zertifikate signieren?

  1. Thema

Neues Thema Ansicht wechseln


  1. Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 23.12.17 - 20:56

    Ich meine Zertifikate haben selbst eine Flag um zu bestimmen ob sie weitere signieren dürfen. Ist die etwa auch noch falsch gesetzt?

    Ich finde das genannte Zertifikat leider nicht mehr um mir das anzusehen.

  2. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: xploded 23.12.17 - 22:22

    Weil der private Key bekannt ist.

  3. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 23.12.17 - 22:59

    xploded schrieb:
    --------------------------------------------------------------------------------
    > Weil der private Key bekannt ist.


    Das hat damit nichts zu tun... Nur weil der private Schlüssel bekannt ist, darf das Zertifikat noch lange keine weiteren Zertifikate signieren. Dafür muss das Zertifikat eine spezielle Flag enthalten.
    In diesem Anwendungsfall DARF diese gar nicht gesetzt sein. Die Flag zu setzen wäre der größte Fehler von allen die sich die Brak aktuell geleistet hat.



    2 mal bearbeitet, zuletzt am 23.12.17 23:00 durch RichardEb.

  4. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 01:09

    leider wurde das zertifikat nicht veröffentlich, sodass man nichts genaues weiß. was du grundsätzlich meinst, nennt sich "Basic Constraint". nachzulesen hier: https://tools.ietf.org/html/rfc5280#section-4.2.1.9 .

    ich weiß allerdings nicht, wie genau die firma das implementiert hat. grundsätzlich könnte es ausreichen, nur das zertifikat ohne basic constraint erweiterung bzw. mit einer solchen erweiterung, allerdings auf false gesetzt, zu installieren. allerdings weiß ich nicht, ob windows das akzeptiert. es wäre dann kein root zertifikat sondern ein self signed host zertifikat, das explizit installiert wurde.

    @golem: bitte entfernt den tor filter. danke.

  5. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Stefan76 24.12.17 - 01:40

    bjs schrieb:
    --------------------------------------------------------------------------------
    > leider wurde das zertifikat nicht veröffentlich, sodass man nichts genaues
    > weiß.

    Natürlich wurde das von der BRAK veröffentlicht, haben ja hunderte, wenn nicht tausende Anwälte bereits installiert und haben nun Panik.



    1 mal bearbeitet, zuletzt am 24.12.17 01:44 durch Stefan76.

  6. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 08:54

    bjs schrieb:
    --------------------------------------------------------------------------------
    > leider wurde das zertifikat nicht veröffentlich, sodass man nichts genaues
    > weiß. was du grundsätzlich meinst, nennt sich "Basic Constraint".
    > nachzulesen hier: tools.ietf.org#section-4.2.1.9.
    >
    > ich weiß allerdings nicht, wie genau die firma das implementiert hat.
    > grundsätzlich könnte es ausreichen, nur das zertifikat ohne basic
    > constraint erweiterung bzw. mit einer solchen erweiterung, allerdings auf
    > false gesetzt, zu installieren. allerdings weiß ich nicht, ob windows das
    > akzeptiert. es wäre dann kein root zertifikat sondern ein self signed host
    > zertifikat, das explizit installiert wurde.
    >
    > @golem: bitte entfernt den tor filter. danke.

    Ja es wird auch ohne CA flag als gültig akzeptiert. Es darf halt nur nichts mehr signieren

  7. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: xploded 24.12.17 - 09:37

    RichardEb schrieb:
    --------------------------------------------------------------------------------
    > xploded schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Weil der private Key bekannt ist.
    >
    > Das hat damit nichts zu tun... Nur weil der private Schlüssel bekannt ist,
    > darf das Zertifikat noch lange keine weiteren Zertifikate signieren. Dafür
    > muss das Zertifikat eine spezielle Flag enthalten.
    > In diesem Anwendungsfall DARF diese gar nicht gesetzt sein. Die Flag zu
    > setzen wäre der größte Fehler von allen die sich die Brak aktuell geleistet
    > hat.

    Ach so. Dachte immer, eine CA braucht zum Zertifizieren auch ihren privaten Key. Muss ich irgendwo etwas falsch verstanden haben.

  8. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 09:44

    Mir wurde das Zertifikat gerade zugeschickt: Vielen Dank dafür.

    Ja die Flag ist tatsächlich gesetzt und nein sie darf für diesen Anwendungsfall gar nicht gesetzt sein. Das was die Brak erreichen will funktioniert ohne die Flag...halt nur eine Millionen mal sicherer. Trotzdem wäre das Vorgehen noch nicht sicher & ok gewesen.

  9. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 09:46

    xploded schrieb:
    --------------------------------------------------------------------------------
    > RichardEb schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > xploded schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Weil der private Key bekannt ist.
    > >
    > >
    > > Das hat damit nichts zu tun... Nur weil der private Schlüssel bekannt
    > ist,
    > > darf das Zertifikat noch lange keine weiteren Zertifikate signieren.
    > Dafür
    > > muss das Zertifikat eine spezielle Flag enthalten.
    > > In diesem Anwendungsfall DARF diese gar nicht gesetzt sein. Die Flag zu
    > > setzen wäre der größte Fehler von allen die sich die Brak aktuell
    > geleistet
    > > hat.
    >
    > Ach so. Dachte immer, eine CA braucht zum Zertifizieren auch ihren privaten
    > Key. Muss ich irgendwo etwas falsch verstanden haben.

    Sie braucht zum Zertifizieren auch ihren privaten Schlüssel und dieser muss auch geheim sein. Aber nicht jedes Zertifikat darf einfach so weitere neue Zertifikate unterschreiben. Das dürfen nur spezielle mit einer speziellen Eigenschaft. In diesem Fall DARF die nicht gesetzt sein

  10. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: xploded 24.12.17 - 10:00

    RichardEb schrieb:
    --------------------------------------------------------------------------------

    > Sie braucht zum Zertifizieren auch ihren privaten Schlüssel und dieser muss
    > auch geheim sein. Aber nicht jedes Zertifikat darf einfach so weitere neue
    > Zertifikate unterschreiben. Das dürfen nur spezielle mit einer speziellen
    > Eigenschaft. In diesem Fall DARF die nicht gesetzt sein

    OHNE den privaten Key wäre es vollkommen egal, wie das Flag gesetzt wäre.

  11. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 10:21

    xploded schrieb:
    --------------------------------------------------------------------------------
    > RichardEb schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > Sie braucht zum Zertifizieren auch ihren privaten Schlüssel und dieser
    > muss
    > > auch geheim sein. Aber nicht jedes Zertifikat darf einfach so weitere
    > neue
    > > Zertifikate unterschreiben. Das dürfen nur spezielle mit einer
    > speziellen
    > > Eigenschaft. In diesem Fall DARF die nicht gesetzt sein
    >
    > OHNE den privaten Key wäre es vollkommen egal, wie das Flag gesetzt wäre.


    Wäre es dann eigentlich auch nicht. Zertifikat die irgendwo zur Anwendung kommen dürfen diese Flag nicht haben. Nur Zertifikat die ausschließlich als CA arbeiten dürfen die Flag besitzen. Alles andere wäre unsicher.

  12. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: xploded 24.12.17 - 10:27

    RichardEb schrieb:
    --------------------------------------------------------------------------------
    > xploded schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > RichardEb schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > >
    > > > Sie braucht zum Zertifizieren auch ihren privaten Schlüssel und dieser
    > > muss
    > > > auch geheim sein. Aber nicht jedes Zertifikat darf einfach so weitere
    > > neue
    > > > Zertifikate unterschreiben. Das dürfen nur spezielle mit einer
    > > speziellen
    > > > Eigenschaft. In diesem Fall DARF die nicht gesetzt sein
    > >
    > > OHNE den privaten Key wäre es vollkommen egal, wie das Flag gesetzt
    > wäre.
    >
    > Wäre es dann eigentlich auch nicht. Zertifikat die irgendwo zur Anwendung
    > kommen dürfen diese Flag nicht haben. Nur Zertifikat die ausschließlich als
    > CA arbeiten dürfen die Flag besitzen. Alles andere wäre unsicher.

    Nur wäre dann die Meldung ganz anders, dann würde es heißen: Eine potentielle Hintertür, wenn jemand in Besitz des privates Keys kommt. Das ist dann schon ein deutlicher Unterschied.
    Unterm Strich ist und bleibt es Murks. Sie bauen beim ersten Mal scheiße und bekommen das Zertifikat gesperrt. Dann bauen Sie die gleiche Scheiße nochmal und verlangen vom Kunden, die lokalen Warnungen, die aus gutem Grund erscheinen, zu ignorieren.
    Das kann doch nicht nur Dummheit und Unwissenheit sein.

  13. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 12:09

    hier wurde es nicht veröffentlich. :-) und die panik kommt ja nicht von der veröffentlichung des zertifikats sondern des private keys.



    1 mal bearbeitet, zuletzt am 24.12.17 12:10 durch bjs.

  14. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 12:12

    die frage ist nun, ob das zertifikat nun den ca wert auf true oder false gesetzt hat.

  15. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: LearnYourJob 24.12.17 - 19:45

    bjs schrieb:
    --------------------------------------------------------------------------------
    > die frage ist nun, ob das zertifikat nun den ca wert auf true oder false
    > gesetzt hat.

    Die Frage ist im Artikel selbst hinreichend beantwortet und zwar mit JA

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. über experteer GmbH, Norddeutschland
  2. operational services GmbH & Co. KG, verschiedene Standorte
  3. STRABAG BRVZ GMBH & CO.KG, Stuttgart
  4. Hochschule für Technik Stuttgart, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. bei o2 für 42,99€ pro Monat (24 Monate Laufzeit)
  2. (u. a. LG 43UP76906LE 43 Zoll LCD für 482,50€ (inkl. Cashback), Gigaset C 430 A Duo 2x...
  3. 55,99€ (Bestpreis)
  4. 413,10€ (mit Rabattcode "PRAKTISCH" - Bestpreis)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme