Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › BeA: Bundesrechtsanwaltskammer…

Warum darf das Zertifikat weiter Zertifikate signieren?

  1. Thema

Neues Thema Ansicht wechseln


  1. Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 23.12.17 - 20:56

    Ich meine Zertifikate haben selbst eine Flag um zu bestimmen ob sie weitere signieren dürfen. Ist die etwa auch noch falsch gesetzt?

    Ich finde das genannte Zertifikat leider nicht mehr um mir das anzusehen.

  2. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: xploded 23.12.17 - 22:22

    Weil der private Key bekannt ist.

  3. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 23.12.17 - 22:59

    xploded schrieb:
    --------------------------------------------------------------------------------
    > Weil der private Key bekannt ist.


    Das hat damit nichts zu tun... Nur weil der private Schlüssel bekannt ist, darf das Zertifikat noch lange keine weiteren Zertifikate signieren. Dafür muss das Zertifikat eine spezielle Flag enthalten.
    In diesem Anwendungsfall DARF diese gar nicht gesetzt sein. Die Flag zu setzen wäre der größte Fehler von allen die sich die Brak aktuell geleistet hat.



    2 mal bearbeitet, zuletzt am 23.12.17 23:00 durch RichardEb.

  4. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 01:09

    leider wurde das zertifikat nicht veröffentlich, sodass man nichts genaues weiß. was du grundsätzlich meinst, nennt sich "Basic Constraint". nachzulesen hier: https://tools.ietf.org/html/rfc5280#section-4.2.1.9 .

    ich weiß allerdings nicht, wie genau die firma das implementiert hat. grundsätzlich könnte es ausreichen, nur das zertifikat ohne basic constraint erweiterung bzw. mit einer solchen erweiterung, allerdings auf false gesetzt, zu installieren. allerdings weiß ich nicht, ob windows das akzeptiert. es wäre dann kein root zertifikat sondern ein self signed host zertifikat, das explizit installiert wurde.

    @golem: bitte entfernt den tor filter. danke.

  5. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Stefan76 24.12.17 - 01:40

    bjs schrieb:
    --------------------------------------------------------------------------------
    > leider wurde das zertifikat nicht veröffentlich, sodass man nichts genaues
    > weiß.

    Natürlich wurde das von der BRAK veröffentlicht, haben ja hunderte, wenn nicht tausende Anwälte bereits installiert und haben nun Panik.



    1 mal bearbeitet, zuletzt am 24.12.17 01:44 durch Stefan76.

  6. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 08:54

    bjs schrieb:
    --------------------------------------------------------------------------------
    > leider wurde das zertifikat nicht veröffentlich, sodass man nichts genaues
    > weiß. was du grundsätzlich meinst, nennt sich "Basic Constraint".
    > nachzulesen hier: tools.ietf.org#section-4.2.1.9.
    >
    > ich weiß allerdings nicht, wie genau die firma das implementiert hat.
    > grundsätzlich könnte es ausreichen, nur das zertifikat ohne basic
    > constraint erweiterung bzw. mit einer solchen erweiterung, allerdings auf
    > false gesetzt, zu installieren. allerdings weiß ich nicht, ob windows das
    > akzeptiert. es wäre dann kein root zertifikat sondern ein self signed host
    > zertifikat, das explizit installiert wurde.
    >
    > @golem: bitte entfernt den tor filter. danke.

    Ja es wird auch ohne CA flag als gültig akzeptiert. Es darf halt nur nichts mehr signieren

  7. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: xploded 24.12.17 - 09:37

    RichardEb schrieb:
    --------------------------------------------------------------------------------
    > xploded schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Weil der private Key bekannt ist.
    >
    > Das hat damit nichts zu tun... Nur weil der private Schlüssel bekannt ist,
    > darf das Zertifikat noch lange keine weiteren Zertifikate signieren. Dafür
    > muss das Zertifikat eine spezielle Flag enthalten.
    > In diesem Anwendungsfall DARF diese gar nicht gesetzt sein. Die Flag zu
    > setzen wäre der größte Fehler von allen die sich die Brak aktuell geleistet
    > hat.

    Ach so. Dachte immer, eine CA braucht zum Zertifizieren auch ihren privaten Key. Muss ich irgendwo etwas falsch verstanden haben.

  8. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 09:44

    Mir wurde das Zertifikat gerade zugeschickt: Vielen Dank dafür.

    Ja die Flag ist tatsächlich gesetzt und nein sie darf für diesen Anwendungsfall gar nicht gesetzt sein. Das was die Brak erreichen will funktioniert ohne die Flag...halt nur eine Millionen mal sicherer. Trotzdem wäre das Vorgehen noch nicht sicher & ok gewesen.

  9. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 09:46

    xploded schrieb:
    --------------------------------------------------------------------------------
    > RichardEb schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > xploded schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Weil der private Key bekannt ist.
    > >
    > >
    > > Das hat damit nichts zu tun... Nur weil der private Schlüssel bekannt
    > ist,
    > > darf das Zertifikat noch lange keine weiteren Zertifikate signieren.
    > Dafür
    > > muss das Zertifikat eine spezielle Flag enthalten.
    > > In diesem Anwendungsfall DARF diese gar nicht gesetzt sein. Die Flag zu
    > > setzen wäre der größte Fehler von allen die sich die Brak aktuell
    > geleistet
    > > hat.
    >
    > Ach so. Dachte immer, eine CA braucht zum Zertifizieren auch ihren privaten
    > Key. Muss ich irgendwo etwas falsch verstanden haben.

    Sie braucht zum Zertifizieren auch ihren privaten Schlüssel und dieser muss auch geheim sein. Aber nicht jedes Zertifikat darf einfach so weitere neue Zertifikate unterschreiben. Das dürfen nur spezielle mit einer speziellen Eigenschaft. In diesem Fall DARF die nicht gesetzt sein

  10. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: xploded 24.12.17 - 10:00

    RichardEb schrieb:
    --------------------------------------------------------------------------------

    > Sie braucht zum Zertifizieren auch ihren privaten Schlüssel und dieser muss
    > auch geheim sein. Aber nicht jedes Zertifikat darf einfach so weitere neue
    > Zertifikate unterschreiben. Das dürfen nur spezielle mit einer speziellen
    > Eigenschaft. In diesem Fall DARF die nicht gesetzt sein

    OHNE den privaten Key wäre es vollkommen egal, wie das Flag gesetzt wäre.

  11. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 10:21

    xploded schrieb:
    --------------------------------------------------------------------------------
    > RichardEb schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > Sie braucht zum Zertifizieren auch ihren privaten Schlüssel und dieser
    > muss
    > > auch geheim sein. Aber nicht jedes Zertifikat darf einfach so weitere
    > neue
    > > Zertifikate unterschreiben. Das dürfen nur spezielle mit einer
    > speziellen
    > > Eigenschaft. In diesem Fall DARF die nicht gesetzt sein
    >
    > OHNE den privaten Key wäre es vollkommen egal, wie das Flag gesetzt wäre.


    Wäre es dann eigentlich auch nicht. Zertifikat die irgendwo zur Anwendung kommen dürfen diese Flag nicht haben. Nur Zertifikat die ausschließlich als CA arbeiten dürfen die Flag besitzen. Alles andere wäre unsicher.

  12. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: xploded 24.12.17 - 10:27

    RichardEb schrieb:
    --------------------------------------------------------------------------------
    > xploded schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > RichardEb schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > >
    > > > Sie braucht zum Zertifizieren auch ihren privaten Schlüssel und dieser
    > > muss
    > > > auch geheim sein. Aber nicht jedes Zertifikat darf einfach so weitere
    > > neue
    > > > Zertifikate unterschreiben. Das dürfen nur spezielle mit einer
    > > speziellen
    > > > Eigenschaft. In diesem Fall DARF die nicht gesetzt sein
    > >
    > > OHNE den privaten Key wäre es vollkommen egal, wie das Flag gesetzt
    > wäre.
    >
    > Wäre es dann eigentlich auch nicht. Zertifikat die irgendwo zur Anwendung
    > kommen dürfen diese Flag nicht haben. Nur Zertifikat die ausschließlich als
    > CA arbeiten dürfen die Flag besitzen. Alles andere wäre unsicher.

    Nur wäre dann die Meldung ganz anders, dann würde es heißen: Eine potentielle Hintertür, wenn jemand in Besitz des privates Keys kommt. Das ist dann schon ein deutlicher Unterschied.
    Unterm Strich ist und bleibt es Murks. Sie bauen beim ersten Mal scheiße und bekommen das Zertifikat gesperrt. Dann bauen Sie die gleiche Scheiße nochmal und verlangen vom Kunden, die lokalen Warnungen, die aus gutem Grund erscheinen, zu ignorieren.
    Das kann doch nicht nur Dummheit und Unwissenheit sein.

  13. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 12:09

    hier wurde es nicht veröffentlich. :-) und die panik kommt ja nicht von der veröffentlichung des zertifikats sondern des private keys.



    1 mal bearbeitet, zuletzt am 24.12.17 12:10 durch bjs.

  14. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: Anonymer Nutzer 24.12.17 - 12:12

    die frage ist nun, ob das zertifikat nun den ca wert auf true oder false gesetzt hat.

  15. Re: Warum darf das Zertifikat weiter Zertifikate signieren?

    Autor: LearnYourJob 24.12.17 - 19:45

    bjs schrieb:
    --------------------------------------------------------------------------------
    > die frage ist nun, ob das zertifikat nun den ca wert auf true oder false
    > gesetzt hat.

    Die Frage ist im Artikel selbst hinreichend beantwortet und zwar mit JA

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. arxes-tolina GmbH, Berlin
  2. Stadtwerke München GmbH, München
  3. SSP Deutschland GmbH, Frankfurt
  4. ad agents GmbH, Herrenberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ryzen 7 3800X im Test: Der schluckt zu viel
Ryzen 7 3800X im Test
"Der schluckt zu viel"

Minimal mehr Takt, vor allem aber ein höheres Power-Budget für gestiegene Frequenzen unter Last: Das war unsere Vorstellung vor dem Test des Ryzen 7 3800X. Doch die Achtkern-CPU überrascht negativ, weil AMD es beim günstigeren 3700X bereits ziemlich gut meinte.
Ein Test von Marc Sauter

  1. Agesa 1003abba Microcode-Update taktet Ryzen 3000 um 50 MHz höher
  2. Agesa 1003abb Viele ältere Platinen erhalten aktuelles UEFI für Ryzen 3000
  3. Ryzen 5 3400G und Ryzen 3 3200G im Test Picasso passt

Surface Hub 2S angesehen: Das Surface Hub, das auch in kleine Meeting-Räume passt
Surface Hub 2S angesehen
Das Surface Hub, das auch in kleine Meeting-Räume passt

Ifa 2019 Präsentationen teilen, Tabellen bearbeiten oder gemeinsam auf dem Whiteboard skizzieren: Das Surface Hub 2S ist eine sichtbare Weiterentwicklung des doch recht klobigen Vorgängers. Und Microsofts Pläne sind noch ambitionierter.
Ein Hands on von Oliver Nickel

  1. Microsoft Nutzer berichten von defektem WLAN nach Surface-Update
  2. Surface Microsofts Dual-Screen-Gerät hat zwei 9-Zoll-Bildschirme
  3. Centaurus Microsoft zeigt intern ein Surface-Gerät mit zwei Displays

Manipulierte Zustimmung: Datenschützer halten die meisten Cookie-Banner für illegal
Manipulierte Zustimmung
Datenschützer halten die meisten Cookie-Banner für illegal

Nur die wenigsten Cookie-Banner entsprechen den Vorschriften der DSGVO, wie eine Studie feststellt. Die Datenschutzbehörden halten sich mit Sanktionen aber noch zurück.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Chrome & Privacy Google möchte uns in Zukunft anders tracken
  2. Tracking Google und Facebook tracken auch auf vielen Pornoseiten
  3. Android Apps kommen auch ohne Berechtigung an Trackingdaten

  1. Wirtschaftsförderung: Agentur für Sprunginnovationen kommt nach Leipzig
    Wirtschaftsförderung
    Agentur für Sprunginnovationen kommt nach Leipzig

    Nach dem Vorbild der Darpa will die Bundesregierung künftig innovative Projekte fördern. Damit erhält bereits die zweite Innovationsagentur des Bundes ihren Sitz in Ostdeutschland.

  2. UPC: Größter Kabelnetzbetreiber führt 1 GBit/s im ganzen Netz ein
    UPC
    Größter Kabelnetzbetreiber führt 1 GBit/s im ganzen Netz ein

    Bei UPC wird noch in diesem Monat 1 GBit/s im gesamten Netz angeboten, was in Deutschland noch keiner aus der Kabelnetz-Branche geschafft hat. Auch Sunrise baut sein 5G-Angebot als Glasfaser-Ersatz aus.

  3. Intel-Prozessor: Core i9-9900KS tritt mit 127 Watt TDP an
    Intel-Prozessor
    Core i9-9900KS tritt mit 127 Watt TDP an

    Acht Kerne mit bis zu 5 GHz für alle: Der Core i9-9900KS erscheint im Oktober 2019 und wird die vorerst schnellste Gaming-CPU. Erste Firmware-Updates zeigen, dass Intel die nominelle Verlustleistung von 95 Watt auf 127 Watt anhebt. Für vollen Takt wird das aber nicht reichen.


  1. 18:11

  2. 17:51

  3. 15:54

  4. 15:37

  5. 15:08

  6. 15:00

  7. 14:53

  8. 14:40