Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Netzverschlüsselung: Mythen über HTTPS

Zertifizierungsstelle erstellt den privaten Schlüssel für ein HTTPS-Zertifikat

  1. Thema

Neues Thema Ansicht wechseln


  1. Zertifizierungsstelle erstellt den privaten Schlüssel für ein HTTPS-Zertifikat

    Autor: hjp 16.12.14 - 21:47

    Sicher, dass das kein Missverständnis ist?

    Es gibt ein HTML-Form-Element[1], das ein Keypaar samt zugehörigem CSR erstellt und den CSR in das Formular einträgt. Das wird natürlich von einigen CAs (darunter auch StartSSL) auf ihren Websites verwendet. Der Private Key verlässt dabei aber den Browser nicht, es ist nur für den Benutzer nicht klar ersichtlich, was passiert (umgekehrt ist mir aber kein Weg bekannt, wie ein am Server erzeugter Private Key in den Browser kommen könnte, ohne dass den der Benutzer selbst importiert).

    [1] https://developer.mozilla.org/en-US/docs/Web/HTML/Element/keygen

  2. Re: Zertifizierungsstelle erstellt den privaten Schlüssel für ein HTTPS-Zertifikat

    Autor: Bizzi 18.12.14 - 07:41

    Ausserdem soll der Schlüssel nur diejenigen bekannt sein, die es wirklich haben müssen.
    Das erstellen eines privaten keys über eine CA ist genau so unsicher wie als wenn man http laufen hat.

    Wozu gibt es CSR's? Damit man den key beim "anbieter" generieren lassen kann?

  3. Re: Zertifizierungsstelle erstellt den privaten Schlüssel für ein HTTPS-Zertifikat

    Autor: davidh2k 18.12.14 - 08:25

    Siehe auch https://forum.golem.de/kommentare/security/netzverschluesselung-mythen-ueber-https/zertifikate-kaufen-zertifikate-signieren-ersteres-ist-unsicher/88693,3992212,3992212,read.html#msg-3992212

    Bzw.: http://m.heise.de/ct/ausgabe/2014-12-Wie-CAs-das-Vertrauen-in-die-SSL-Technik-weiter-untergraben-2189639.html?from-classic=1

  4. Re: Zertifizierungsstelle erstellt den privaten Schlüssel für ein HTTPS-Zertifikat

    Autor: hjp 22.12.14 - 10:11

    Bizzi schrieb:
    --------------------------------------------------------------------------------
    > Ausserdem soll der Schlüssel nur diejenigen bekannt sein, die es wirklich
    > haben müssen.
    > Das erstellen eines privaten keys über eine CA ist genau so unsicher wie
    > als wenn man http laufen hat.

    Der Schlüssel wird bei dem von mir beschriebenen Verfahren eben nicht von der CA erstellt, sondern vom Browser des Benutzers. Der private Key verlässt nie den Rechner des Benutzers. Die CA bekommt nur den CSR.

    >
    > Wozu gibt es CSR's? Damit man den key beim "anbieter" generieren lassen
    > kann?

    Wird er ja nicht. Jedenfalls war das bei StartSSL nicht der Fall, als ich mir das vor ein paar Jahren angeschaut habe. Ich glaube, dass der Vorwurf, StartSSL würde den Key generieren, daher kommt, dass die Leute nicht zwischen Browser und Server unterscheiden können (was ihnen StartSSL zugegebenermaßen nicht leicht macht).

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Bosch Gruppe, Abstatt
  2. SICK AG, Waldkirch bei Freiburg im Breisgau
  3. Rodenstock GmbH, München, Regen
  4. EUCHNER GmbH + Co. KG, Leinfelden-Echterdingen/Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 499€ (Bestpreis!)
  2. 569€ (Bestpreis!)
  3. 64,90€ für Prime-Mitglieder (Vergleichspreis 72,88€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Norsepower: Stahlsegel helfen der Umwelt und sparen Treibstoff
Norsepower
Stahlsegel helfen der Umwelt und sparen Treibstoff

Der erste Test war erfolgreich: Das finnische Unternehmen Norsepower hat zwei weitere Schiffe mit Rotorsails ausgestattet. Der erste Neubau mit dem Windhilfsantrieb ist in Planung. Neue Regeln der Seeschifffahrtsorganisation könnten bewirken, dass künftig mehr Schiffe saubere Antriebe bekommen.
Ein Bericht von Werner Pluta

  1. Car2X Volkswagen will Ampeln zuhören
  2. Innotrans Die Schiene wird velosicher
  3. Logistiktram Frankfurt liefert Pakete mit Straßenbahn aus

Mate 20 Pro im Hands on: Huawei bringt drei Brennweiten und mehr für 1.000 Euro
Mate 20 Pro im Hands on
Huawei bringt drei Brennweiten und mehr für 1.000 Euro

Huawei hat mit dem Mate 20 Pro seine Dreifachkamera überarbeitet: Der monochrome Sensor ist einer Ultraweitwinkelkamera gewichen. Gleichzeitig bietet das Smartphone zahlreiche technische Extras wie einen Fingerabdrucksensor unter dem Display und einen sehr leistungsfähigen Schnelllader.
Ein Hands on von Tobias Költzsch

  1. Keine Spionagepanik Regierung wird chinesische 5G-Ausrüster nicht ausschließen
  2. Watch GT Huawei bringt Smartwatch ohne Wear OS auf den Markt
  3. Ascend 910/310 Huaweis AI-Chips sollen Google und Nvidia schlagen

Probefahrt mit Tesla Model 3: Wie auf Schienen übers Golden Gate
Probefahrt mit Tesla Model 3
Wie auf Schienen übers Golden Gate

Die Produktion des Tesla Model 3 für den europäischen Markt wird gerade vorbereitet. Golem.de hat einen Tag in und um San Francisco getestet, was Käufer von dem Elektroauto erwarten können.
Ein Erfahrungsbericht von Friedhelm Greis

  1. 1.000 Autos pro Tag Tesla baut das hunderttausendste Model 3
  2. Goodwood Festival of Speed Tesla bringt Model 3 erstmals offiziell nach Europa
  3. Elektroauto Produktionsziel des Tesla Model 3 erreicht

  1. Caterpillar: Baggerhersteller investiert in Festkörperakkus von Fisker
    Caterpillar
    Baggerhersteller investiert in Festkörperakkus von Fisker

    Der US-Baumaschinenhersteller Caterpillar hat eine Beteiligung am Autohersteller Fisker angekündigt. Caterpillar geht es um die von Fisker entwickelten Festkörperakkus.

  2. Patentantrag: Samsung will ganzes Display zum Fingerscanner machen
    Patentantrag
    Samsung will ganzes Display zum Fingerscanner machen

    Samsung hat einen Patentantrag für ein Smartphonedisplay eingereicht, das die gesamte Oberfläche in einen Fingerabdruckscanner verwandelt. Damit Kunden nicht aus Versehen ihre Identität bestätigen, werden Sicherheitszonen eingerichtet.

  3. NHTSA: Behörden ziehen autonomen Schulbus aus dem Verkehr
    NHTSA
    Behörden ziehen autonomen Schulbus aus dem Verkehr

    Ein autonomes Schulbusprojekt ist von der National Highway Traffic Safety Administration in den USA gestoppt worden. Das Projekt sei rechtswidrig, erklärt die Behörde. In Deutschland und anderen Ländern fahren ähnliche Busse.


  1. 07:46

  2. 07:30

  3. 07:17

  4. 21:17

  5. 17:58

  6. 17:50

  7. 17:42

  8. 17:14