1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Netzverschlüsselung: Mythen…

Zertifizierungsstelle erstellt den privaten Schlüssel für ein HTTPS-Zertifikat

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Zertifizierungsstelle erstellt den privaten Schlüssel für ein HTTPS-Zertifikat

    Autor: hjp 16.12.14 - 21:47

    Sicher, dass das kein Missverständnis ist?

    Es gibt ein HTML-Form-Element[1], das ein Keypaar samt zugehörigem CSR erstellt und den CSR in das Formular einträgt. Das wird natürlich von einigen CAs (darunter auch StartSSL) auf ihren Websites verwendet. Der Private Key verlässt dabei aber den Browser nicht, es ist nur für den Benutzer nicht klar ersichtlich, was passiert (umgekehrt ist mir aber kein Weg bekannt, wie ein am Server erzeugter Private Key in den Browser kommen könnte, ohne dass den der Benutzer selbst importiert).

    [1] https://developer.mozilla.org/en-US/docs/Web/HTML/Element/keygen

  2. Re: Zertifizierungsstelle erstellt den privaten Schlüssel für ein HTTPS-Zertifikat

    Autor: Bizzi 18.12.14 - 07:41

    Ausserdem soll der Schlüssel nur diejenigen bekannt sein, die es wirklich haben müssen.
    Das erstellen eines privaten keys über eine CA ist genau so unsicher wie als wenn man http laufen hat.

    Wozu gibt es CSR's? Damit man den key beim "anbieter" generieren lassen kann?

  3. Re: Zertifizierungsstelle erstellt den privaten Schlüssel für ein HTTPS-Zertifikat

    Autor: davidh2k 18.12.14 - 08:25

    Siehe auch https://forum.golem.de/kommentare/security/netzverschluesselung-mythen-ueber-https/zertifikate-kaufen-zertifikate-signieren-ersteres-ist-unsicher/88693,3992212,3992212,read.html#msg-3992212

    Bzw.: http://m.heise.de/ct/ausgabe/2014-12-Wie-CAs-das-Vertrauen-in-die-SSL-Technik-weiter-untergraben-2189639.html?from-classic=1

  4. Re: Zertifizierungsstelle erstellt den privaten Schlüssel für ein HTTPS-Zertifikat

    Autor: hjp 22.12.14 - 10:11

    Bizzi schrieb:
    --------------------------------------------------------------------------------
    > Ausserdem soll der Schlüssel nur diejenigen bekannt sein, die es wirklich
    > haben müssen.
    > Das erstellen eines privaten keys über eine CA ist genau so unsicher wie
    > als wenn man http laufen hat.

    Der Schlüssel wird bei dem von mir beschriebenen Verfahren eben nicht von der CA erstellt, sondern vom Browser des Benutzers. Der private Key verlässt nie den Rechner des Benutzers. Die CA bekommt nur den CSR.

    >
    > Wozu gibt es CSR's? Damit man den key beim "anbieter" generieren lassen
    > kann?

    Wird er ja nicht. Jedenfalls war das bei StartSSL nicht der Fall, als ich mir das vor ein paar Jahren angeschaut habe. Ich glaube, dass der Vorwurf, StartSSL würde den Key generieren, daher kommt, dass die Leute nicht zwischen Browser und Server unterscheiden können (was ihnen StartSSL zugegebenermaßen nicht leicht macht).

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Product Owner (m/w/d)
    Scheidt & Bachmann Fuel Retail Solutions GmbH, Mönchengladbach
  2. Associate Lead Expert Solution Architecture Healthcare (m/w/d)
    BWI GmbH, deutschlandweit
  3. Senior Data Scientist (m/w/d)
    Heraeus Consulting & IT Solutions GmbH, Hanau
  4. Informationssicherheitsbeauf- tragte:r (m/w/d)
    Kommunales Rechenzentrum Minden-Ravensberg/Lippe, Lemgo

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (stündlich aktualisiert)
  2. (u. a. Little Big Workshop für 9,99€, One Hand Clapping für 11€, Port Royale 4 - Extended...
  3. (u. a. God of War für 34,99€, Horizon Zero Dawn - Complete Edition für 21,99€, Days Gone für...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bowers & Wilkins PX7 S2 im Test: Guter ANC-Kopfhörer für windstille Tage
Bowers & Wilkins PX7 S2 im Test
Guter ANC-Kopfhörer für windstille Tage

Der PX7 S2 von Bowers & Wilkins ist ein guter ANC-Kopfhörer, der sich im Test mit einer starken Konkurrenz von sechs ANC-Kopfhörern beweisen muss.
Ein Test von Ingo Pakalski

  1. Nuratrue Pro Nura bringt neue In-Ears mit 3D-Sound und Lossless-Audio
  2. Master & Dynamic MW75 ANC-Kopfhörer mit Knopfsteuerung kostet 600 Euro
  3. Dyson Zone ANC-Kopfhörer hat einen eingebauten Luftreiniger

Ferngesteuertes Auto ausprobiert: Wenn 4G für das Autofahren nicht ausreicht
Ferngesteuertes Auto ausprobiert
Wenn 4G für das Autofahren nicht ausreicht

Der Carsharing-Anbieter Elmo zeigt uns seine Lösung für ferngesteuertes Fahren in Städten und stößt dabei an die Grenzen der deutschen Mobilfunknetze.
Ein Bericht von Martin Wolf

  1. EU-Verkehrsminister Lkw-Ladepunkte an allen wichtigen Straßen bis 2030
  2. Bloomberg Die Revolution in der E-Mobilität auf zwei Rädern
  3. Elektromobilität Produktion von Elektroautos ist 2021 stark gestiegen

Technics EAH-A800 im Praxistest: Tolle faltbare Alternative zu Sonys Oberklasse-Kopfhörer
Technics EAH-A800 im Praxistest
Tolle faltbare Alternative zu Sonys Oberklasse-Kopfhörer

Technics' neuer ANC-Kopfhörer EAH-A800 ist eine der besten Alternativen zu Sonys Oberklasse-Kopfhörer WH-1000XM5. Im Bereich Akkulaufzeit liefert er sogar Spitzenleistung.
Ein Test von Ingo Pakalski