-
Ich finde das ein bisschen unfair Symantec gegenüber
Autor: gardwin 30.05.16 - 10:42
Ich habe selbst oft Mit Zertifikaten (Stichwort Java mit Tomcat) zu tun und fruste öfters mal über Fehlermeldungen.
Warum darf man eigentlich keine Testzertifikate erstellen. Es wäre superleicht von den Browserherstellern anstatt Rot eine Rosa o.ä. Adressleiste einzublenden, die darauf hinweist, dass ein Testzertifikat verwendet wird.
Aber nein, immer nur Wirkbetrieb erlaubt sonst alles verboten, blockiert und untersagt.
Gardwin -
Re: Ich finde das ein bisschen unfair Symantec gegenüber
Autor: Mingfu 30.05.16 - 10:48
Weil Testzertifikate im standardmäßig akzeptierten Zertifikatsraum völliger Quatsch sind. Wer ein Testzertifikat benötigt, kann sich einfach selbst ein Root-Zertifikat erstellen und dieses im eigenen Zertifikatsspeicher (beispielsweise in dem vom Browser) hinterlegen. Dann wird es bei ihm lokal akzeptiert, aber nirgends sonst. Testzertifikate mit einem allgemein akzeptierten Root-Zertifikat zu signieren, ist einfach nur gefährlich und nicht vertrauenswürdig.
1 mal bearbeitet, zuletzt am 30.05.16 10:49 durch Mingfu. -
Re: Ich finde das ein bisschen unfair Symantec gegenüber
Autor: RipClaw 30.05.16 - 10:49
gardwin schrieb:
--------------------------------------------------------------------------------
> Aber nein, immer nur Wirkbetrieb erlaubt sonst alles verboten, blockiert
> und untersagt.
Du kannst das jederzeit übergehen und oder deine eigene CA in den eigenen Browser einbinden.
Ich kenne mehrere Firmen die für interne Seiten eine eigene CA verwenden. Der Zertifikatsspeicher der Browser im Unternehmen wurde natürlich entsprechend um die eigene CA erweitert. -
Re: Ich finde das ein bisschen unfair Symantec gegenüber
Autor: Wuestenschiff 30.05.16 - 10:49
Weil man Tests gefälligst nicht mit gültigen Zertifikaten macht. Niemand hindert Bluecoat daran eine eigene TestCA zu bauen und das Zertifikat in ihren Testbrowsern zu hinterlegen.
Privatepersonen und Firmen haben kein Intermediate CA zu bekommen unter keinen Umständen und schon gar nicht als Test! Bei Testsystemen ist die Security vermutlich ungeklärt und lax und die Wahrscheinlichkeit, dass der Schlüssel abhanden kommt bedeutend grösser als bei Produktiv CAs. -
Re: Ich finde das ein bisschen unfair Symantec gegenüber
Autor: Proctrap 30.05.16 - 10:55
1. Testen können die auch mit eigenen Zertifikaten.
2. Du nutzt dafür kein intermediate Zert, womit du selbst zur CA wirst, unterschied.
3. Verkauft diese Firma Software, welche https verb. aufbricht, ließt und wieder verschlüsselt weiter schickt. Normalerweise installiert man dafür extra ein Zert. in den PC, wenns um Virenscanner geht (umstritten), die würden mit dem, was sie bekommen haben das aber auch ohne schaffen.
D.h. man in the middle ohne dass du es merkst.
Das war aber "nur zum Testen", obwohl se das Zeug verkaufen, & zum Testen an sich es nicht benötigen. Die glauben ihre Aussagen wahrscheinlich noch selbst.
1 mal bearbeitet, zuletzt am 30.05.16 10:57 durch Proctrap. -
Re: Ich finde das ein bisschen unfair Symantec gegenüber
Autor: My1 30.05.16 - 11:06
Zum TESTEN ein ZEHN JAHRE intermediate, wers glaubt.
https://crt.sh/?id=19538258
a zum testen reicht n leaf (also endzertifikat) aus und kein de facto unbeschränktes intermediate.
das ding hat mal abgesehen von der Pfadlänge keine einschränkungen, also es kann zumindest keine weiteren intermediates machen.
ich hoffe zumindest dass es nich von nem EV Root signiert wurde. -
Re: Ich finde das ein bisschen unfair Symantec gegenüber
Autor: johnripper 30.05.16 - 11:15
MMC -> Import -> Unstrusted -> Fall abgeschlossen.
Am liebsten würde ich das mit dem global Root von Symantec machen -
Re: Ich finde das ein bisschen unfair Symantec gegenüber
Autor: My1 30.05.16 - 11:27
nur Firefox hat bekannterweise sein eigenes HTTPS (gut für XP user da diese sonst ohne TLS 1.2 und AES surfen müssten) inkl. Certstorage.
nachteil die haben bisher keinen aktiven distrust. -
Re: Ich finde das ein bisschen unfair Symantec gegenüber
Autor: My1 30.05.16 - 14:22
die leute von bluecoat hätten sich aber auch explizite certs austellen lassen können die eben für diese seiten gelten, aber ne intermediate CA
-
Re: Ich finde das ein bisschen unfair Symantec gegenüber
Autor: yoyoyo 30.05.16 - 16:05
Ne eigene CA anzulegen dauert 10 Minuten inklusive runterladen von TinyCA o.a. Das mit dem Testen ist einfach eine dreiste Lüge, die man aber nur schwer widerlegen kann. (Es sei denn der Test hieß, man in the middle ...)
2 mal bearbeitet, zuletzt am 30.05.16 16:08 durch yoyoyo. -
Re: Ich finde das ein bisschen unfair Symantec gegenüber
Autor: My1 30.05.16 - 16:07
Naja n 10 jahre public intermediate is mehr als genug um das zu widerlegen.



