Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Certificate Transparency: Betrug mit…

muß die eigene selfsigned-CA dann auch..?

  1. Thema

Neues Thema Ansicht wechseln


  1. muß die eigene selfsigned-CA dann auch..?

    Autor: Gonzales 25.10.16 - 16:56

    Wie sieht es aus, wenn man für sein Unternehmen oder gar privat eine eigene CA betreibt, für Möhren, die ohnehin nicht der Öffentlichkeit präsentiert werden und daher kein "echte" Zertifikat brauchen? Müssen die dann auch in den logs vermerkt werden und die Ausstellung eines internen Testzertifikats kostet mich dann auch 26h?

  2. Re: muß die eigene selfsigned-CA dann auch..?

    Autor: decaflon 25.10.16 - 17:00

    Wer sollte wen und wieso zwingen können, eine privat ausgestelltes Zertifikat in einer öffentlichen Liste einzutragen?! Erscheint Dir das nicht selber absurd?

  3. Re: muß die eigene selfsigned-CA dann auch..?

    Autor: My1 25.10.16 - 17:09

    Gonzales schrieb:
    --------------------------------------------------------------------------------
    > Wie sieht es aus, wenn man für sein Unternehmen oder gar privat eine eigene
    > CA betreibt, für Möhren, die ohnehin nicht der Öffentlichkeit präsentiert
    > werden und daher kein "echte" Zertifikat brauchen? Müssen die dann auch in
    > den logs vermerkt werden und die Ausstellung eines internen Testzertifikats
    > kostet mich dann auch 26h?

    "Grundsätzlich kann jeder Zertifikate in die Logs eintragen, wenn diese von den im Browser akzeptierten Zertifizierungsstellen ausgestellt wurden."

    ich bezweifle dass deine private CA nen großen browsertrust hat.
    demzufolge KANNST du dein cert nicht mal eintragen, was das alles ad absurdum führt.

  4. Re: muß die eigene selfsigned-CA dann auch..?

    Autor: chuck0r 25.10.16 - 17:40

    Ich habe die Frage des Threaderstellers so verstanden, dass er nun überlegt, ob Chrome seine selbstignierten Zertifikate noch akzeptieren wird, wenn er die CA als trusted auf seinen Clients hinterlegt.

    Ich schätze mal ja. Denn es gibt einige Unternehmen da draussen, die das so praktizieren. Wahrscheinlich wird es dann einen Pool mit global Trusted und einen Pool mit manuell hinzugefügten CA's geben - weshalb die eigene CA dann aus dieser Thematik rausfallen sollte..

  5. Re: muß die eigene selfsigned-CA dann auch..?

    Autor: Gonzales 25.10.16 - 17:46

    chuck0r schrieb:
    --------------------------------------------------------------------------------
    > Ich habe die Frage des Threaderstellers so verstanden, dass er nun
    > überlegt, ob Chrome seine selbstignierten Zertifikate noch akzeptieren
    > wird, wenn er die CA als trusted auf seinen Clients hinterlegt.

    exakt. Danke für die Antwort.
    Vielleicht gibt es demnächst ja mal ein paar Vorabversionen vom Chrome, in denen man das Ganze testen kann.

  6. Re: muß die eigene selfsigned-CA dann auch..?

    Autor: hannob (golem.de) 25.10.16 - 18:02

    Um das nochmal klarzustellen: Lokal eingetragene CAs sind von dem ganzen überhaupt nicht betroffen, hier sagt das Ryan Sleevi von Google explizit:
    https://twitter.com/sleevi_/status/790929381367517184

    (persönlich würde ich übrigens immer davon abraten, eigene CAs zu betreiben. Vor allem den Einsatz von TLS-Man-in-the-Middle-Appliances finde ich extrem problematisch. Aber das ist eine andere Frage.)

  7. Re: muß die eigene selfsigned-CA dann auch..?

    Autor: My1 25.10.16 - 19:17

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Um das nochmal klarzustellen: Lokal eingetragene CAs sind von dem ganzen
    > überhaupt nicht betroffen, hier sagt das Ryan Sleevi von Google explizit:
    > twitter.com
    >
    > (persönlich würde ich übrigens immer davon abraten, eigene CAs zu
    > betreiben. Vor allem den Einsatz von TLS-Man-in-the-Middle-Appliances finde
    > ich extrem problematisch. Aber das ist eine andere Frage.)

    naja für testing und so ist eigenes schon hilfreich, und man hat seine ruhe vor bots und so da die dem cert wahrscheinlich nicht mal trauen.

  8. Re: muß die eigene selfsigned-CA dann auch..?

    Autor: Tragen 25.10.16 - 20:08

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > (persönlich würde ich übrigens immer davon abraten, eigene CAs zu
    > betreiben. Vor allem den Einsatz von TLS-Man-in-the-Middle-Appliances finde
    > ich extrem problematisch. Aber das ist eine andere Frage.)

    Und wie soll das in einem normalen Netzwerk funktionieren? Viele ADs sind mit einer Domain wie firma.int oder firma.intern angelegt.
    Für wsus.firma.intern gibt es keine CA die mir dafür ein Zertifikat ausstellt. Ohne eigene CA nicht möglich.
    Und eine echte öffentliche Domain verwenden bereitet auch viele Probleme.

  9. Re: muß die eigene selfsigned-CA dann auch..?

    Autor: hannob (golem.de) 25.10.16 - 20:32

    Tragen schrieb:
    --------------------------------------------------------------------------------
    > Und wie soll das in einem normalen Netzwerk funktionieren? Viele ADs sind
    > mit einer Domain wie firma.int oder firma.intern angelegt.

    .int ist eine öffentliche TLD, aber das nur am Rande.

    > Für wsus.firma.intern gibt es keine CA die mir dafür ein Zertifikat
    > ausstellt. Ohne eigene CA nicht möglich.

    Klar, aber zwingt einen ja keiner dazu, private Domainnamen zu nutzen. Ist eh problematisch, da mit den neuen TLDs viele Domainnamen, die früher "intern" waren, jetzt öffentliche Domainnamen sind.

    > Und eine echte öffentliche Domain verwenden bereitet auch viele Probleme.

    Ich sehe dabei keine größeren Probleme. Warum sollte man nicht intern [companyname].de o.ä. verwenden?
    Das managen von eigenen Zertifikaten ist relativ komplex, man muss sich beispielsweise damit befassen, wie man die Root-Keys in alle möglichen unterschiedlichen Programme und Devices bekommt. Ich denke diese Komplexität zu vermeiden ist allemal mehr Wert als alle potentiellen Nachteile.

  10. Re: muß die eigene selfsigned-CA dann auch..?

    Autor: Tragen 25.10.16 - 20:46

    Egal was man macht, eine normale Domain darf man gar nicht für AD benutzen.
    Man muss mindestens eine Subdomain nehmen wie ad.domain.tld.
    Ist halt auch wieder unschön.
    Die Rootzertifikate kann man einmal im AD hinterlegen und werden automatisch
    verteilt. Nur Firefox oder Thunderbird mit ihren eigenen Zertifikatsstores brauchen
    mehr aufwand. Aber bisher war es dafür nie nötig. Es geht ja um interne Server.
    Die externen sind eh über öffentliche Domainnamen erreichbar.

  11. Re: muß die eigene selfsigned-CA dann auch..?

    Autor: Tragen 25.10.16 - 21:23

    PS: Natürlich kann ich anstatt firma.de
    für das AD einfach die registrierte, aber nicht benutzte Domain firma.com nehmen.

  12. Re: muß die eigene selfsigned-CA dann auch..?

    Autor: M. 25.10.16 - 21:37

    > Egal was man macht, eine normale Domain darf man gar nicht für AD
    > benutzen.
    Warum denn nicht, das funktioniert bei korrektem Setup absolut problemlos. Im Zweifel halt per Split-DNS, oder indem auf einem Server sowohl ein Webserver als auch ein DC läuft.

    Mein Arbeitgeber verwendet z.B. cern.ch fürs AD und auch https://hostname.cern.ch oder https://hostname.cern für interne Sites. Auch jeder Host im internen Netzwerk kriegt einen Hostnamen unter cern.ch.

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Panasonic Industrial Devices Europe GmbH, Lüneburg
  2. JOB AG Industrial Service GmbH, Mannheim (Home-Office)
  3. Hays AG, Essen
  4. Stadt Nürnberg, Nürnberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Hitman 2 - Gold Edition, The Elder Scrolls V: Skyrim - Special Edition, Battlefield 1)
  2. (u. a. Grimm - die komplette Serie, Atomic Blonde, Die Mumie, Jurassic World)
  3. (u. a. Rasentrimmer, Multischleifer, Heckenscheren)
  4. (u. a. WD 2-TB-externe Festplatte für Xbox One für 90,10€, Asus Chromebook für 301,01€ )


Haben wir etwas übersehen?

E-Mail an news@golem.de


Timex Data Link im Retro-Test: Bill Gates' Astronauten-Smartwatch
Timex Data Link im Retro-Test
Bill Gates' Astronauten-Smartwatch

Mit der Data Link haben Timex und Microsoft bereits vor 25 Jahren die erste richtige Smartwatch vorgestellt. Sie hat es sogar bis in den Weltraum geschafft. Das Highlight ist die drahtlose Datenübertragung per flackerndem Röhrenmonitor - was wir natürlich ausprobieren mussten.
Ein Test von Tobias Költzsch

  1. Smart Watch Swatch fordert wegen kopierter Zifferblätter von Samsung Geld
  2. Wearable EU warnt vor deutscher Kinder-Smartwatch
  3. Sportuhr Fossil stellt Smartwatch mit Snapdragon 3100 vor

Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
Ada und Spark
Mehr Sicherheit durch bessere Programmiersprachen

Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
Von Johannes Kanig

  1. Das andere How-to Deutsch lernen für Programmierer
  2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein

5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
5G-Auktion
Warum der Preis der 5G-Frequenzen so hoch war

Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
Eine Analyse von Achim Sawall

  1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
  2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
  3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben

  1. Fußball: PES 2020 mit Messi und Maradona plus neuer Kameraperspektive
    Fußball
    PES 2020 mit Messi und Maradona plus neuer Kameraperspektive

    Interaktive Transferverhandlungen mit Maradona und Cruyff, besseres Dribbling und eine neue Kameraperspektive sowie Rasen-Rendering: Konami stellt einige der Neuheiten von PES 2020 vor. Im Trailer sieht manches leider unfreiwillig komisch aus.

  2. Fernseher: Konsumenten wollen große Bildschirme statt HDR und OLED
    Fernseher
    Konsumenten wollen große Bildschirme statt HDR und OLED

    Eine Umfrage der Gfu sieht große Displaydiagonalen als primären Kaufgrund für neue TV-Geräte. Von HDR und OLED haben viele Leute allerdings kaum eine Ahnung. Und doch sind viele bereit, mehr als 1.000 Euro für einen neuen Fernseher zu bezahlen.

  3. Nissan: Roboter hilft beim giftarmen Reisanbau
    Nissan
    Roboter hilft beim giftarmen Reisanbau

    Aigamo ist ein von Nissan entwickelter Roboter für die Landwirtschaft. Er soll in Reisfelder schwimmen und verhindern, dass sich Unkraut zwischen den Reispflanzen ansiedelt.


  1. 17:18

  2. 17:03

  3. 16:28

  4. 16:13

  5. 15:47

  6. 15:35

  7. 15:19

  8. 14:54