Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › BeA: Bundesrechtsanwaltskammer…

Warum darf das Zertifikat weiter Zertifikate signieren?

  1. Thema

Neues Thema Ansicht wechseln


  1. Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: RichardEb 23.12.17 - 20:56

    Ich meine Zertifikate haben selbst eine Flag um zu bestimmen ob sie weitere signieren dürfen. Ist die etwa auch noch falsch gesetzt?

    Ich finde das genannte Zertifikat leider nicht mehr um mir das anzusehen.

  2. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: xploded 23.12.17 - 22:22

    Weil der private Key bekannt ist.

  3. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: RichardEb 23.12.17 - 22:59

    xploded schrieb:
    --------------------------------------------------------------------------------
    > Weil der private Key bekannt ist.


    Das hat damit nichts zu tun... Nur weil der private Schlüssel bekannt ist, darf das Zertifikat noch lange keine weiteren Zertifikate signieren. Dafür muss das Zertifikat eine spezielle Flag enthalten.
    In diesem Anwendungsfall DARF diese gar nicht gesetzt sein. Die Flag zu setzen wäre der größte Fehler von allen die sich die Brak aktuell geleistet hat.



    2 mal bearbeitet, zuletzt am 23.12.17 23:00 durch RichardEb.

  4. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 01:09

    leider wurde das zertifikat nicht veröffentlich, sodass man nichts genaues weiß. was du grundsätzlich meinst, nennt sich "Basic Constraint". nachzulesen hier: https://tools.ietf.org/html/rfc5280#section-4.2.1.9 .

    ich weiß allerdings nicht, wie genau die firma das implementiert hat. grundsätzlich könnte es ausreichen, nur das zertifikat ohne basic constraint erweiterung bzw. mit einer solchen erweiterung, allerdings auf false gesetzt, zu installieren. allerdings weiß ich nicht, ob windows das akzeptiert. es wäre dann kein root zertifikat sondern ein self signed host zertifikat, das explizit installiert wurde.

    @golem: bitte entfernt den tor filter. danke.

  5. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Stefan76 24.12.17 - 01:40

    bjs schrieb:
    --------------------------------------------------------------------------------
    > leider wurde das zertifikat nicht veröffentlich, sodass man nichts genaues
    > weiß.

    Natürlich wurde das von der BRAK veröffentlicht, haben ja hunderte, wenn nicht tausende Anwälte bereits installiert und haben nun Panik.



    1 mal bearbeitet, zuletzt am 24.12.17 01:44 durch Stefan76.

  6. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: RichardEb 24.12.17 - 08:54

    bjs schrieb:
    --------------------------------------------------------------------------------
    > leider wurde das zertifikat nicht veröffentlich, sodass man nichts genaues
    > weiß. was du grundsätzlich meinst, nennt sich "Basic Constraint".
    > nachzulesen hier: tools.ietf.org#section-4.2.1.9.
    >
    > ich weiß allerdings nicht, wie genau die firma das implementiert hat.
    > grundsätzlich könnte es ausreichen, nur das zertifikat ohne basic
    > constraint erweiterung bzw. mit einer solchen erweiterung, allerdings auf
    > false gesetzt, zu installieren. allerdings weiß ich nicht, ob windows das
    > akzeptiert. es wäre dann kein root zertifikat sondern ein self signed host
    > zertifikat, das explizit installiert wurde.
    >
    > @golem: bitte entfernt den tor filter. danke.

    Ja es wird auch ohne CA flag als gültig akzeptiert. Es darf halt nur nichts mehr signieren

  7. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: xploded 24.12.17 - 09:37

    RichardEb schrieb:
    --------------------------------------------------------------------------------
    > xploded schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Weil der private Key bekannt ist.
    >
    > Das hat damit nichts zu tun... Nur weil der private Schlüssel bekannt ist,
    > darf das Zertifikat noch lange keine weiteren Zertifikate signieren. Dafür
    > muss das Zertifikat eine spezielle Flag enthalten.
    > In diesem Anwendungsfall DARF diese gar nicht gesetzt sein. Die Flag zu
    > setzen wäre der größte Fehler von allen die sich die Brak aktuell geleistet
    > hat.

    Ach so. Dachte immer, eine CA braucht zum Zertifizieren auch ihren privaten Key. Muss ich irgendwo etwas falsch verstanden haben.

  8. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: RichardEb 24.12.17 - 09:44

    Mir wurde das Zertifikat gerade zugeschickt: Vielen Dank dafür.

    Ja die Flag ist tatsächlich gesetzt und nein sie darf für diesen Anwendungsfall gar nicht gesetzt sein. Das was die Brak erreichen will funktioniert ohne die Flag...halt nur eine Millionen mal sicherer. Trotzdem wäre das Vorgehen noch nicht sicher & ok gewesen.

  9. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: RichardEb 24.12.17 - 09:46

    xploded schrieb:
    --------------------------------------------------------------------------------
    > RichardEb schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > xploded schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Weil der private Key bekannt ist.
    > >
    > >
    > > Das hat damit nichts zu tun... Nur weil der private Schlüssel bekannt
    > ist,
    > > darf das Zertifikat noch lange keine weiteren Zertifikate signieren.
    > Dafür
    > > muss das Zertifikat eine spezielle Flag enthalten.
    > > In diesem Anwendungsfall DARF diese gar nicht gesetzt sein. Die Flag zu
    > > setzen wäre der größte Fehler von allen die sich die Brak aktuell
    > geleistet
    > > hat.
    >
    > Ach so. Dachte immer, eine CA braucht zum Zertifizieren auch ihren privaten
    > Key. Muss ich irgendwo etwas falsch verstanden haben.

    Sie braucht zum Zertifizieren auch ihren privaten Schlüssel und dieser muss auch geheim sein. Aber nicht jedes Zertifikat darf einfach so weitere neue Zertifikate unterschreiben. Das dürfen nur spezielle mit einer speziellen Eigenschaft. In diesem Fall DARF die nicht gesetzt sein

  10. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: xploded 24.12.17 - 10:00

    RichardEb schrieb:
    --------------------------------------------------------------------------------

    > Sie braucht zum Zertifizieren auch ihren privaten Schlüssel und dieser muss
    > auch geheim sein. Aber nicht jedes Zertifikat darf einfach so weitere neue
    > Zertifikate unterschreiben. Das dürfen nur spezielle mit einer speziellen
    > Eigenschaft. In diesem Fall DARF die nicht gesetzt sein

    OHNE den privaten Key wäre es vollkommen egal, wie das Flag gesetzt wäre.

  11. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: RichardEb 24.12.17 - 10:21

    xploded schrieb:
    --------------------------------------------------------------------------------
    > RichardEb schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > Sie braucht zum Zertifizieren auch ihren privaten Schlüssel und dieser
    > muss
    > > auch geheim sein. Aber nicht jedes Zertifikat darf einfach so weitere
    > neue
    > > Zertifikate unterschreiben. Das dürfen nur spezielle mit einer
    > speziellen
    > > Eigenschaft. In diesem Fall DARF die nicht gesetzt sein
    >
    > OHNE den privaten Key wäre es vollkommen egal, wie das Flag gesetzt wäre.


    Wäre es dann eigentlich auch nicht. Zertifikat die irgendwo zur Anwendung kommen dürfen diese Flag nicht haben. Nur Zertifikat die ausschließlich als CA arbeiten dürfen die Flag besitzen. Alles andere wäre unsicher.

  12. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: xploded 24.12.17 - 10:27

    RichardEb schrieb:
    --------------------------------------------------------------------------------
    > xploded schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > RichardEb schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > >
    > > > Sie braucht zum Zertifizieren auch ihren privaten Schlüssel und dieser
    > > muss
    > > > auch geheim sein. Aber nicht jedes Zertifikat darf einfach so weitere
    > > neue
    > > > Zertifikate unterschreiben. Das dürfen nur spezielle mit einer
    > > speziellen
    > > > Eigenschaft. In diesem Fall DARF die nicht gesetzt sein
    > >
    > > OHNE den privaten Key wäre es vollkommen egal, wie das Flag gesetzt
    > wäre.
    >
    > Wäre es dann eigentlich auch nicht. Zertifikat die irgendwo zur Anwendung
    > kommen dürfen diese Flag nicht haben. Nur Zertifikat die ausschließlich als
    > CA arbeiten dürfen die Flag besitzen. Alles andere wäre unsicher.

    Nur wäre dann die Meldung ganz anders, dann würde es heißen: Eine potentielle Hintertür, wenn jemand in Besitz des privates Keys kommt. Das ist dann schon ein deutlicher Unterschied.
    Unterm Strich ist und bleibt es Murks. Sie bauen beim ersten Mal scheiße und bekommen das Zertifikat gesperrt. Dann bauen Sie die gleiche Scheiße nochmal und verlangen vom Kunden, die lokalen Warnungen, die aus gutem Grund erscheinen, zu ignorieren.
    Das kann doch nicht nur Dummheit und Unwissenheit sein.

  13. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 12:09

    hier wurde es nicht veröffentlich. :-) und die panik kommt ja nicht von der veröffentlichung des zertifikats sondern des private keys.



    1 mal bearbeitet, zuletzt am 24.12.17 12:10 durch bjs.

  14. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 12:12

    die frage ist nun, ob das zertifikat nun den ca wert auf true oder false gesetzt hat.

  15. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: LearnYourJob 24.12.17 - 19:45

    bjs schrieb:
    --------------------------------------------------------------------------------
    > die frage ist nun, ob das zertifikat nun den ca wert auf true oder false
    > gesetzt hat.

    Die Frage ist im Artikel selbst hinreichend beantwortet und zwar mit JA

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. SV Informatik GmbH, Stuttgart
  3. Neun Zeichen GmbH, Berlin
  4. PSI Energie Gas & Öl, Essen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 199€ (Bestpreis!)
  2. 319€ (aktuell günstigste GTX 1070!)
  3. (u. a. Euro Truck Simulator 2 - Beyond the Baltic Sea (DLC) für 8,99€ und Fortnite - Deep Freeze...
  4. 99€ + Versand (Vergleichspreis ca. 116€ + Versand)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Alienware m15 vs Asus ROG Zephyrus M: Gut gekühlt ist halb gewonnen
Alienware m15 vs Asus ROG Zephyrus M
Gut gekühlt ist halb gewonnen

Wer auf LAN-Partys geht, möchte nicht immer einen Tower schleppen. Ein Gaming-Notebook wie das Alienware m15 und das Asus ROG Zephyrus M tut es auch, oder? Golem.de hat beide ähnlich ausgestatteten Notebooks gegeneinander antreten lassen und festgestellt: Die Kühlung macht den Unterschied.
Ein Test von Oliver Nickel

  1. Alienware m17 Dell packt RTX-Grafikeinheit in sein 17-Zoll-Gaming-Notebook
  2. Interview Alienware "Keiner baut dir einen besseren Gaming-PC als du selbst!"
  3. Dell Alienware M15 wird schlanker und läuft 17 Stunden

Chromebook Spin 13 im Alltagstest: Tolles Notebook mit Software-Bremse
Chromebook Spin 13 im Alltagstest
Tolles Notebook mit Software-Bremse

Bei Chromebooks denken viele an billige, knarzende Laptops - das Spin 13 von Acer ist anders. Wir haben es einen Monat lang verwendet - und uns am Ende gefragt, ob der veranschlagte Preis für ein Notebook mit Chrome OS wirklich gerechtfertigt ist.
Ein Test von Tobias Költzsch


    Elektromobilität: Der Umweltbonus ist gescheitert
    Elektromobilität
    Der Umweltbonus ist gescheitert

    Trotz eines spürbaren Anstiegs zum Jahresbeginn kann man den Umweltbonus als gescheitert bezeichnen. Bislang wurden weniger als 100.000 Elektroautos gefördert. Wenn der Bonus Ende Juni ausläuft, sind noch immer einige Millionen Euro vorhanden. Die Fraktion der Grünen will stattdessen Anreize über die Kfz-Steuer schaffen.
    Eine Analyse von Dirk Kunde

    1. Elektromobilität Nikola Motors kündigt E-Lkw ohne Brennstoffzelle an
    2. SPNV Ceské dráhy will akkubetriebene Elektrotriebzüge testen
    3. Volkswagen Electrify America nutzt Tesla-Powerpacks zur Deckung von Spitzen

    1. Uploadfilter: EU-Kommission bezeichnet Reformkritiker als "Mob"
      Uploadfilter
      EU-Kommission bezeichnet Reformkritiker als "Mob"

      In der Debatte über die Reform des EU-Urheberrechts verschärft sich der Ton. Während die EU-Kommission Vergleiche mit dem Brexit-Referendum zieht und Unions-Politiker von Fake-Kampagnen sprechen, gehen Tausende Gegner von Uploadfiltern in Köln auf die Straße.

    2. Datenschutz: 18.000 Android-Apps spionieren Nutzer unzulässig aus
      Datenschutz
      18.000 Android-Apps spionieren Nutzer unzulässig aus

      Selbst populäre Apps mit Hunderten Millionen Nutzern verstoßen gegen die Werberichtlinien von Google. Das Unternehmen reagierte monatelang nicht auf die Vorwürfe.

    3. Erneuerbare Energien: Shell übernimmt Heimakku-Hersteller Sonnen
      Erneuerbare Energien
      Shell übernimmt Heimakku-Hersteller Sonnen

      Der Erdölkonzern Shell setzt sein Engagement im Bereich erneuerbare Energien fort. Nun kauft das Unternehmen einen Konkurrenten für Teslas Powerwalls aus dem Allgäu.


    1. 16:51

    2. 13:16

    3. 11:39

    4. 09:02

    5. 19:17

    6. 18:18

    7. 17:45

    8. 16:20