-
Zertifizierungsstelle erstellt den privaten Schlüssel für ein HTTPS-Zertifikat
Autor: hjp 16.12.14 - 21:47
Sicher, dass das kein Missverständnis ist?
Es gibt ein HTML-Form-Element[1], das ein Keypaar samt zugehörigem CSR erstellt und den CSR in das Formular einträgt. Das wird natürlich von einigen CAs (darunter auch StartSSL) auf ihren Websites verwendet. Der Private Key verlässt dabei aber den Browser nicht, es ist nur für den Benutzer nicht klar ersichtlich, was passiert (umgekehrt ist mir aber kein Weg bekannt, wie ein am Server erzeugter Private Key in den Browser kommen könnte, ohne dass den der Benutzer selbst importiert).
[1] https://developer.mozilla.org/en-US/docs/Web/HTML/Element/keygen -
Re: Zertifizierungsstelle erstellt den privaten Schlüssel für ein HTTPS-Zertifikat
Autor: Bizzi 18.12.14 - 07:41
Ausserdem soll der Schlüssel nur diejenigen bekannt sein, die es wirklich haben müssen.
Das erstellen eines privaten keys über eine CA ist genau so unsicher wie als wenn man http laufen hat.
Wozu gibt es CSR's? Damit man den key beim "anbieter" generieren lassen kann? -
Re: Zertifizierungsstelle erstellt den privaten Schlüssel für ein HTTPS-Zertifikat
Autor: davidh2k 18.12.14 - 08:25
Siehe auch https://forum.golem.de/kommentare/security/netzverschluesselung-mythen-ueber-https/zertifikate-kaufen-zertifikate-signieren-ersteres-ist-unsicher/88693,3992212,3992212,read.html#msg-3992212
Bzw.: http://m.heise.de/ct/ausgabe/2014-12-Wie-CAs-das-Vertrauen-in-die-SSL-Technik-weiter-untergraben-2189639.html?from-classic=1 -
Re: Zertifizierungsstelle erstellt den privaten Schlüssel für ein HTTPS-Zertifikat
Autor: hjp 22.12.14 - 10:11
Bizzi schrieb:
--------------------------------------------------------------------------------
> Ausserdem soll der Schlüssel nur diejenigen bekannt sein, die es wirklich
> haben müssen.
> Das erstellen eines privaten keys über eine CA ist genau so unsicher wie
> als wenn man http laufen hat.
Der Schlüssel wird bei dem von mir beschriebenen Verfahren eben nicht von der CA erstellt, sondern vom Browser des Benutzers. Der private Key verlässt nie den Rechner des Benutzers. Die CA bekommt nur den CSR.
>
> Wozu gibt es CSR's? Damit man den key beim "anbieter" generieren lassen
> kann?
Wird er ja nicht. Jedenfalls war das bei StartSSL nicht der Fall, als ich mir das vor ein paar Jahren angeschaut habe. Ich glaube, dass der Vorwurf, StartSSL würde den Key generieren, daher kommt, dass die Leute nicht zwischen Browser und Server unterscheiden können (was ihnen StartSSL zugegebenermaßen nicht leicht macht).
Zertifizierungsstelle erstellt den privaten Schlüssel für ein HTTPS-Zertifikat
- Golem.de ohne Werbung nutzen
Kommentare: 543 | letzter Beitrag 14:35 Uhr
Kommentare: 211 | letzter Beitrag 14:31 Uhr
Kommentare: 138 | letzter Beitrag 13:01 Uhr
Kommentare: 41 | letzter Beitrag 12:46 Uhr
Kommentare: 39 | letzter Beitrag 14:26 Uhr
E-Mail an news@golem.de
Wenn sich Menschen um ein Exemplar der Geforce RTX 3080 Ti drängeln und schubsen, dann läuft etwas falsch. Nvidia, AMD und Co. müssen handeln.
Ein IMHO von Oliver Nickel
Ein E-Auto ist in der Anschaffung teurer als ein konventionelles. Käufer können aber Zuschüsse bekommen. Wir beantworten zehn wichtige Fragen dazu.
Von Werner Pluta
Ich versprach mir Hilfe für meine App-Entwicklung. Die externe Entwicklerfirma lieferte aber vor allem Fehler und Ausreden. Was ich daraus gelernt habe.
Von Rajiv Prabhakar
Elektro-MobilitätCurtiss stellt E-Motorrad ab 90.000 US-Dollar vorDas Curtiss One ist ein aufsehenerregendes Elektromotorrad mit starkem Design und Retro-Charme. Preiswert ist das Bike nicht.
Xbox-PlattformMicrosoft wettet auf Starfield als SystemsellerE3 2021 Es kam, was kommen musste: Nach der Bethesda-Übernahme erscheint Starfield exklusiv für Xbox-Systeme statt auch für die Playstation 5.
UnescoKI und Robotik dominieren weltweite ForschungEine Auswertung der weltweiten wissenschaftlichen Forschung durch die Unesco zeigt einen klaren Trend bei KI-Technologien.