Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Certificate Transparency: Betrug mit…

muß die eigene selfsigned-CA dann auch..?

  1. Thema

Neues Thema Ansicht wechseln


  1. muß die eigene selfsigned-CA dann auch..?

    Autor: Gonzales 25.10.16 - 16:56

    Wie sieht es aus, wenn man für sein Unternehmen oder gar privat eine eigene CA betreibt, für Möhren, die ohnehin nicht der Öffentlichkeit präsentiert werden und daher kein "echte" Zertifikat brauchen? Müssen die dann auch in den logs vermerkt werden und die Ausstellung eines internen Testzertifikats kostet mich dann auch 26h?

  2. Re: muß die eigene selfsigned-CA dann auch..?

    Autor: decaflon 25.10.16 - 17:00

    Wer sollte wen und wieso zwingen können, eine privat ausgestelltes Zertifikat in einer öffentlichen Liste einzutragen?! Erscheint Dir das nicht selber absurd?

  3. Re: muß die eigene selfsigned-CA dann auch..?

    Autor: My1 25.10.16 - 17:09

    Gonzales schrieb:
    --------------------------------------------------------------------------------
    > Wie sieht es aus, wenn man für sein Unternehmen oder gar privat eine eigene
    > CA betreibt, für Möhren, die ohnehin nicht der Öffentlichkeit präsentiert
    > werden und daher kein "echte" Zertifikat brauchen? Müssen die dann auch in
    > den logs vermerkt werden und die Ausstellung eines internen Testzertifikats
    > kostet mich dann auch 26h?

    "Grundsätzlich kann jeder Zertifikate in die Logs eintragen, wenn diese von den im Browser akzeptierten Zertifizierungsstellen ausgestellt wurden."

    ich bezweifle dass deine private CA nen großen browsertrust hat.
    demzufolge KANNST du dein cert nicht mal eintragen, was das alles ad absurdum führt.

  4. Re: muß die eigene selfsigned-CA dann auch..?

    Autor: chuck0r 25.10.16 - 17:40

    Ich habe die Frage des Threaderstellers so verstanden, dass er nun überlegt, ob Chrome seine selbstignierten Zertifikate noch akzeptieren wird, wenn er die CA als trusted auf seinen Clients hinterlegt.

    Ich schätze mal ja. Denn es gibt einige Unternehmen da draussen, die das so praktizieren. Wahrscheinlich wird es dann einen Pool mit global Trusted und einen Pool mit manuell hinzugefügten CA's geben - weshalb die eigene CA dann aus dieser Thematik rausfallen sollte..

  5. Re: muß die eigene selfsigned-CA dann auch..?

    Autor: Gonzales 25.10.16 - 17:46

    chuck0r schrieb:
    --------------------------------------------------------------------------------
    > Ich habe die Frage des Threaderstellers so verstanden, dass er nun
    > überlegt, ob Chrome seine selbstignierten Zertifikate noch akzeptieren
    > wird, wenn er die CA als trusted auf seinen Clients hinterlegt.

    exakt. Danke für die Antwort.
    Vielleicht gibt es demnächst ja mal ein paar Vorabversionen vom Chrome, in denen man das Ganze testen kann.

  6. Re: muß die eigene selfsigned-CA dann auch..?

    Autor: hannob (golem.de) 25.10.16 - 18:02

    Um das nochmal klarzustellen: Lokal eingetragene CAs sind von dem ganzen überhaupt nicht betroffen, hier sagt das Ryan Sleevi von Google explizit:
    https://twitter.com/sleevi_/status/790929381367517184

    (persönlich würde ich übrigens immer davon abraten, eigene CAs zu betreiben. Vor allem den Einsatz von TLS-Man-in-the-Middle-Appliances finde ich extrem problematisch. Aber das ist eine andere Frage.)

  7. Re: muß die eigene selfsigned-CA dann auch..?

    Autor: My1 25.10.16 - 19:17

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Um das nochmal klarzustellen: Lokal eingetragene CAs sind von dem ganzen
    > überhaupt nicht betroffen, hier sagt das Ryan Sleevi von Google explizit:
    > twitter.com
    >
    > (persönlich würde ich übrigens immer davon abraten, eigene CAs zu
    > betreiben. Vor allem den Einsatz von TLS-Man-in-the-Middle-Appliances finde
    > ich extrem problematisch. Aber das ist eine andere Frage.)

    naja für testing und so ist eigenes schon hilfreich, und man hat seine ruhe vor bots und so da die dem cert wahrscheinlich nicht mal trauen.

  8. Re: muß die eigene selfsigned-CA dann auch..?

    Autor: Tragen 25.10.16 - 20:08

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > (persönlich würde ich übrigens immer davon abraten, eigene CAs zu
    > betreiben. Vor allem den Einsatz von TLS-Man-in-the-Middle-Appliances finde
    > ich extrem problematisch. Aber das ist eine andere Frage.)

    Und wie soll das in einem normalen Netzwerk funktionieren? Viele ADs sind mit einer Domain wie firma.int oder firma.intern angelegt.
    Für wsus.firma.intern gibt es keine CA die mir dafür ein Zertifikat ausstellt. Ohne eigene CA nicht möglich.
    Und eine echte öffentliche Domain verwenden bereitet auch viele Probleme.

  9. Re: muß die eigene selfsigned-CA dann auch..?

    Autor: hannob (golem.de) 25.10.16 - 20:32

    Tragen schrieb:
    --------------------------------------------------------------------------------
    > Und wie soll das in einem normalen Netzwerk funktionieren? Viele ADs sind
    > mit einer Domain wie firma.int oder firma.intern angelegt.

    .int ist eine öffentliche TLD, aber das nur am Rande.

    > Für wsus.firma.intern gibt es keine CA die mir dafür ein Zertifikat
    > ausstellt. Ohne eigene CA nicht möglich.

    Klar, aber zwingt einen ja keiner dazu, private Domainnamen zu nutzen. Ist eh problematisch, da mit den neuen TLDs viele Domainnamen, die früher "intern" waren, jetzt öffentliche Domainnamen sind.

    > Und eine echte öffentliche Domain verwenden bereitet auch viele Probleme.

    Ich sehe dabei keine größeren Probleme. Warum sollte man nicht intern [companyname].de o.ä. verwenden?
    Das managen von eigenen Zertifikaten ist relativ komplex, man muss sich beispielsweise damit befassen, wie man die Root-Keys in alle möglichen unterschiedlichen Programme und Devices bekommt. Ich denke diese Komplexität zu vermeiden ist allemal mehr Wert als alle potentiellen Nachteile.

  10. Re: muß die eigene selfsigned-CA dann auch..?

    Autor: Tragen 25.10.16 - 20:46

    Egal was man macht, eine normale Domain darf man gar nicht für AD benutzen.
    Man muss mindestens eine Subdomain nehmen wie ad.domain.tld.
    Ist halt auch wieder unschön.
    Die Rootzertifikate kann man einmal im AD hinterlegen und werden automatisch
    verteilt. Nur Firefox oder Thunderbird mit ihren eigenen Zertifikatsstores brauchen
    mehr aufwand. Aber bisher war es dafür nie nötig. Es geht ja um interne Server.
    Die externen sind eh über öffentliche Domainnamen erreichbar.

  11. Re: muß die eigene selfsigned-CA dann auch..?

    Autor: Tragen 25.10.16 - 21:23

    PS: Natürlich kann ich anstatt firma.de
    für das AD einfach die registrierte, aber nicht benutzte Domain firma.com nehmen.

  12. Re: muß die eigene selfsigned-CA dann auch..?

    Autor: M. 25.10.16 - 21:37

    > Egal was man macht, eine normale Domain darf man gar nicht für AD
    > benutzen.
    Warum denn nicht, das funktioniert bei korrektem Setup absolut problemlos. Im Zweifel halt per Split-DNS, oder indem auf einem Server sowohl ein Webserver als auch ein DC läuft.

    Mein Arbeitgeber verwendet z.B. cern.ch fürs AD und auch https://hostname.cern.ch oder https://hostname.cern für interne Sites. Auch jeder Host im internen Netzwerk kriegt einen Hostnamen unter cern.ch.

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Verlag C.H.BECK, München Schwabing
  2. Baettr Stade GmbH über Jauss HR-Consulting GmbH & Co.KG, Stade
  3. BRUNATA-METRONA GmbH & Co. KG, München
  4. Computacenter AG & Co. oHG, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 529,00€
  2. 349,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg

In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

  1. Windows 10: Windows-Defender-Dateien werden als fehlerhaft erkannt
    Windows 10
    Windows-Defender-Dateien werden als fehlerhaft erkannt

    Der System File Checker in Windows 10 markiert neuerdings Dateien des Windows Defender als fehlerhaft. Der Bug ist auch Microsoft bekannt. Das Problem: Die neue Version des Defenders verändert im Installationsimage verankerte Dateien. Der Hersteller will das mit einem Update von Windows 10 beheben.

  2. Keystone: Mechanische Tastatur passt Tastendruckpunkte den Nutzern an
    Keystone
    Mechanische Tastatur passt Tastendruckpunkte den Nutzern an

    Die auf Kickstarter finanzierte Keystone ist eine mechanische Tastatur mit Hall-Effekt-Schaltern. Diese können die Druckstärke registrieren. Eine Software ermöglicht es der Tastatur, das Tippverhalten der Nutzer zu analysieren und Druckpunkte entsprechend anzupassen.

  3. The Witcher: Erster Netflix-Trailer mit Geralt, Ciri, Triss und Striegen
    The Witcher
    Erster Netflix-Trailer mit Geralt, Ciri, Triss und Striegen

    Netflix stellt den ersten Trailer seiner Serie The Witcher vor. Henry Cavill als Geralt von Riva kämpft dabei gegen Monster und Menschen und verwendet Hexerzeichen, Pirouettenkampf und Zaubertränke. Einige Szenen erinnern an Passagen aus den Büchern.


  1. 13:00

  2. 12:30

  3. 11:57

  4. 17:52

  5. 15:50

  6. 15:24

  7. 15:01

  8. 14:19