Wie ist die Zertifikatskette aufgebaut?

Welches Rootzertifikat wird verwendet?

bootstorm schrieb:
--------------------------------------------------------------------------------
> Welches Rootzertifikat wird verwendet?


steht doch da - ein eigens. Deswegen muss es im Browser ( Betriebssystem ) hinterlegt werden.

bootstorm schrieb:
--------------------------------------------------------------------------------
> Welches Rootzertifikat wird verwendet?

Die Frage macht so keinen Sinn. Im Artikel steht doch, dass Russland eine eigene CA mit eigenem TLS-Zertifikat aufgestellt hat. Das kann im Prinzip jeder machen. Alles was man dazu benötigt, gibt es sowohl als OSS als auch von Microsoft.

Wenn du aber öffentlich Mitspielen willst, ohne die Prozedur einer eigenen RootCA-Implementation in allen gängigen Browsern und Betriebssystemen zu durchlaufen, dann brauchst du eine RootCA welche deine Zwischen-CA signiert (siehe die jahrelangen Probleme, die LetsEncrypt damit hatte).

Er fragte welche das ist. Legitime Frage.

Meine Vermutung wäre Kaspersky.



1 mal bearbeitet, zuletzt am 11.03.22 13:25 durch JgdKdoFhr.

Laut Artikel ist das deren eigene root CA. Da steht doch drin, dass Chrome und Firefox die nicht unterstützen, das ist also kein Zwischenzertifikat.

Yandex unterstützt diese ca aber wiederum, weil der russische Staat dort Einfluss nehmen kann.

Ich habe das Gefühl ihr wisst nicht wovon ihr sprecht.
Hier geht es nicht um eine SubCA.
Russland hat eine RootCA Implementiert. Keine "Zwischen-CA". Da wird nichts von irgendwem signiert. Die haben ein selbstsigniertes Zertifikat erstellt.
Also macht Ihre Antwort keinen Sinn.

Diese RootCA wird logischweise niemals von gängigen Browsern und Betriebssystemen vertraut werden.
Die probieren das Internet ihrer Bürger komplett zu überwachen. Sobald man dieses Zertifikat installiert und diesem vertraut steht der Überwachung nichts mehr im Weg.

JgdKdoFhr schrieb:
--------------------------------------------------------------------------------
> Wenn du aber öffentlich Mitspielen willst, ohne die Prozedur einer eigenen
> RootCA-Implementation in allen gängigen Browsern und Betriebssystemen zu
> durchlaufen, dann brauchst du eine RootCA welche deine Zwischen-CA signiert
> (siehe die jahrelangen Probleme, die LetsEncrypt damit hatte).

Die wollen aber nicht öffentlich mitspielen sondern russisch mitspielen. Deshalb fordern sie an allen möglichen Stellen, auch per Mail, die Bürger dazu auf, entsprechende RootCA zu implementieren, inklusive Anleitungen für den jeweiligen Browser und dem Verweis darauf, dass der russische Yandex-Browser direkt funktioniert (da ist die RootCA schon eingetragen). Dass es damit auch möglich ist, den Internetverkehr der Nutzer als Man in the Middle abzuhören, verraten sie natürlich genauso wenig wie die Tatsache, dass die CA nicht internationalen Standards für weltweit gültige RootCAs entspricht.

Okay.

Hier haben es einige nicht kapiert, aber sind der Meinung dass meine Frage keinen Sinn macht!?

Jetzt stelle ich mir gerade vor wie der russische Staat seine Bürger auffordert sich ein solches Zertifikat zu importieren damit ihre Verschlüsselung sicher ist.
Ich kann mir auch die Reaktion der meisten russischen Bürger vorstellen.

Ich könnte mir nur nicht vorstellen dass hier im Forum so geantwortet wird.

bootstorm schrieb:
--------------------------------------------------------------------------------
> Okay.
>
> Hier haben es einige nicht kapiert, aber sind der Meinung dass meine Frage
> keinen Sinn macht!?

wer hat er es denn auch nicht verstanden? Verstehe jetzt dein Kommentar auch nicht.

Es steht im Artikel
> entweder das Root-Zertifikat der CA
damit ist doch klar das es ein (neues)Root

> Jetzt stelle ich mir gerade vor wie der russische Staat seine Bürger
> auffordert sich ein solches Zertifikat zu importieren damit ihre
> Verschlüsselung sicher ist.

Richtig, genau das wird er tun, aber erst als letzten Schritt.

Die ersten Schritte, das durchzusetzen, sind vergleichsweise leicht. Man weist als Staat alle Banken, wissenschaftlichen Institute, Behörden, Staatsunternehmen, etc. an, ausschließlich Server-Zertifikate einzusetzen, die sich von dieser RussCA ableitet.

Auch andere Server-Betreiber werden bald nachziehen, denn die üblichen CAs arbeiten ja nicht mehr mit russischen Unternehmen zusammen. Besser also von RussCA als gar kein Zertifikat oder nur selbstsigniert.

Als nächstes geht man an die Provider. Sie dürfen keine SSL-Verbindungen mehr zulassen, die nicht auf der RussCA basieren. Andere Verschlüsselung muss per Man-in-the-Middle abgestrippt werden und mit einem RussCA-Zertifikat neu verpackt werden, so wie es einige Sicherheitssoftware für Firmen das heute schon tut.

Ob der Endkunde dann das Zertifikat installiert oder nicht, ist fast schon egal. Er bekommt keine andere Gegenstelle mehr.

> Ich kann mir auch die Reaktion der meisten russischen Bürger vorstellen.

Ja, kuschen und es akzeptieren. Was ist die Alternative? Wenn man das Zertifikat nicht installiert, bekommt man immer Warnmeldungen, aber eine echte Alternative hat man nicht.

Oktavian schrieb:
--------------------------------------------------------------------------------
> > Jetzt stelle ich mir gerade vor wie der russische Staat seine Bürger
> > auffordert sich ein solches Zertifikat zu importieren damit ihre
> > Verschlüsselung sicher ist.
>
> Richtig, genau das wird er tun, aber erst als letzten Schritt.
>
> Die ersten Schritte, das durchzusetzen, sind vergleichsweise leicht. Man
> weist als Staat alle Banken, wissenschaftlichen Institute, Behörden,
> Staatsunternehmen, etc. an, ausschließlich Server-Zertifikate einzusetzen,
> die sich von dieser RussCA ableitet.
>
> Auch andere Server-Betreiber werden bald nachziehen, denn die üblichen CAs
> arbeiten ja nicht mehr mit russischen Unternehmen zusammen. Besser also von
> RussCA als gar kein Zertifikat oder nur selbstsigniert.
>
> Als nächstes geht man an die Provider. Sie dürfen keine SSL-Verbindungen
> mehr zulassen, die nicht auf der RussCA basieren. Andere Verschlüsselung
> muss per Man-in-the-Middle abgestrippt werden und mit einem
> RussCA-Zertifikat neu verpackt werden, so wie es einige Sicherheitssoftware
> für Firmen das heute schon tut.
>
> Ob der Endkunde dann das Zertifikat installiert oder nicht, ist fast schon
> egal. Er bekommt keine andere Gegenstelle mehr.
>
> > Ich kann mir auch die Reaktion der meisten russischen Bürger vorstellen.
>
> Ja, kuschen und es akzeptieren. Was ist die Alternative? Wenn man das
> Zertifikat nicht installiert, bekommt man immer Warnmeldungen, aber eine
> echte Alternative hat man nicht.

Du meinst so wie die Russen auch der Anweisung auf Sputnik gegen Covid gefolgt sind?

> Du meinst so wie die Russen auch der Anweisung auf Sputnik gegen Covid
> gefolgt sind?

Nein, vielmehr wie die Chinesen das "Internet" nutzen. Genau auf diesen Weg begibt sich ja Russland auch. Ein weitgehend isoliertes Intranet schaffen mit vergleichsweise wenigen Übergabepunkten ins Rest-Internet.

An diesen Übergabepunkten ist es vergleichsweise leicht, mit so Unannehmlichkeiten wie Verschlüsselung oder Wahrheit fertig zu werden. Man filtert, lässt nur Mitlesbares zu, packt Verschlüsselungen neu ein, etc.

Hier besteht für den einfachen Bürger keine Wahl oder Alternative. Er kann sich entscheiden, es nicht zu nutzen. Er kann auch im Ausland mal ins echte Netz gucken. Ein paar Privilegierte haben ungefilterten Zugang oder vielleicht eine Satellitenverbindung. Vielleicht werden wie in Nordkorea oder Kuba gelegentlich Inhalte per USB-Stick getauscht. Aber eine echte Alternative hat der Normalbürger nicht.

Oktavian schrieb:
--------------------------------------------------------------------------------
> Richtig, genau das wird er tun, aber erst als letzten Schritt.

Nein, als ersten Schritt. Dementsprechend ist alles was Sie schildern von der Reihenfolge falsch.

Tatsächlich werden wohl Russen angemailt, die sich bei einem Behördenportal angemeldet haben. Zudem wird auf Behördensites auf das Zertifikatsportal verwiesen und einige russische DNS Server leiten unverschlüsslte Anfragen auf das Zertifikatsportal weiter. Dort werden für verschiedene Browser Anleitungen aufgeführt, wie man die CA importiert bzw. darauf verwiesen, dass es mit einem russischen Browser direkt geht und man den statt Firefox oder Chrome nutzen soll.