1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › BeA: Bundesrechtsanwaltskammer…

Das Problem mit den Zertifikaten

  1. Beitrag
  1. Thema

Das Problem mit den Zertifikaten

Autor: Spoth 24.12.17 - 01:48

Das man ursprünglich, für einen lokalen Webserver, ein von einer CA signiertes Zertifikat verteilt hat, erklärt sich mir mit dem überall vorhandenen Aberglauben, dass nur ein von einer CA signiertes Zertifikat sicher wäre. Bei security Audits sehe ich immer wieder, dass selbstsignierte Zertifikate, an egal welcher Stelle, als Sicherheitsproblem gemeldet werden. So hat man sich das wohl auch hier gedacht.

- Wenn ich einen Webserver auf dem localhost meines Rechners betreibe, und auf diesen vom gleichen System aus zugreife, dann braucht es erstens mal überhaupt kein https. Ist mein Rechner kompromittiert, so dass ein Angreifer den Traffic auf localhost mitschneiden könnte, dann kann er die Daten auch einfach vor oder nach der Verschlüsselung abgreifen. Oder er braucht den Traffic überhaupt nicht mehr, da er ja schon auf dem System ist und auch so an alle Daten kommt die er haben will. Aber vielleicht möchte man dem User ein gutes Gefühl geben, dass der Browser ein grünes https Symbol anzeigt. Das würde ich sogar gelten lassen.

- Ein von einer CA signiertes Zertifikat brauche ich nur dann, wenn ich keinen direkten vertrauenswürdigen Kontakt zu meinem Kommunikationspartner habe. Wenn ich mir selbst einen Webserver mit https aufsetze, und diesen selbst benutzen will, dann gibt es überhaupt keinen Grund dafür ein CA zertifiziertes Zertifikat zu kaufen und jedes Jahr dafür zu blechen. Die CAs leisten hier offenbar ganz gute Lobbyarbeit und verbreiten überall den Irrglauben, dass ein nicht von einer (teueren) CA signiertes Zertifikat irgendwie unsicher wäre.

- Wenn ich einen Webserver aufsetze, den ein Partner nutzen soll, den ich persönlich kenne, dem ich mein Zertifikat auf sicherem Weg geben kann, dann bringt ein CA signiertes Zertifikat ebenfalls nichts als zusätzliche Kosten.

- Einzig wenn ich einen Webserver für ein breites Publikum aufsetze, das mich nicht persönlich kennt, dann ist der Zweck eines CA signierten Zertifikates der, dass die CA meine Identität durch ihre Signatur bestätigt. Der Partner traut dann der CA, dass diese meine Identität anständig gesprüft hat. Wenn mir jemand, den ich kenne, sein Zertifikat in die Hand geben kann, dann ist die CA überflüssig. Ich weiss ja von wem das Zertifikat kommt.

Der große Fehler bei beA ist der, dass jede beA Installation für ihren integrierten Webserver das gleiche Zertifikat benutzt. Und dass es dann auch noch, sinnloserweise, als CA Zertifikat installiert werden soll, das weitere Zertifikat beglaubigen darf, macht die ganze Sache ziemlich fatal. Offenbar fehlt hier jedes Verständnis für die Materie.


Neues Thema Ansicht wechseln


Thema
 

Das Problem mit den Zertifikaten

Spoth | 24.12.17 - 01:48
 

Re: Das Problem mit den Zertifikaten

bifi | 24.12.17 - 11:30
 

Re: Das Problem mit den Zertifikaten

LearnYourJob | 24.12.17 - 19:47
 

Re: Das Problem mit den Zertifikaten

Apfelbrot | 24.12.17 - 20:56
 

Re: Das Problem mit den Zertifikaten

LearnYourJob | 24.12.17 - 21:11
 

Re: Das Problem mit den Zertifikaten

Spoth | 24.12.17 - 23:54
 

Re: Das Problem mit den Zertifikaten

LearnYourJob | 25.12.17 - 03:01

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Administrator (w/m/d)
    Caesar & Loretz GmbH, Hilden
  2. Informatiker*in oder Elektroingenieur*in (m/w/d) mit Spezialisierung im Bereich Data Science und KI-gestützte Softwareanwendungen
    Institut für Arbeitswissenschaft und Technologiemanagement der Universität Stuttgart (IAT), Stuttgart
  3. SAP-Produktmanagerin/SAP-Pro- duktmanager (w/m/d)
    Berliner Verkehrsbetriebe (BVG), Berlin
  4. Data Scientist / Aktuar (m/w/d) im Bereich Business Intelligence
    Allianz Versicherungs-AG, München, Unterföhring

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 32,99€ (Bestpreis!)
  2. 32,99€ (Bestpreis!)
  3. mit bis zu 30% Rabatt
  4. (u. a. MSI Optix G32CQ4DE WQHD/165 Hz für 329€ + 6,99€ Versand und be quiet! Pure Base 600...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Förderung von E-Autos und Hybriden: Wie viel Geld bekomme ich für den Kauf eines Elektroautos?
Förderung von E-Autos und Hybriden
Wie viel Geld bekomme ich für den Kauf eines Elektroautos?

Ein E-Auto ist in der Anschaffung teurer als ein konventionelles. Käufer können aber Zuschüsse bekommen. Wir beantworten zehn wichtige Fragen dazu.
Von Werner Pluta

  1. Lordstown Chefs von Elektro-Truck-Firma nach Betrug zurückgetreten
  2. Elektromobilität Rennserie E1 zeigt elektrisches Schnellboot
  3. Elektromobilität Green-Vision gibt Akkus aus Elektroautos neuen Zweck

Telefon- und Internetanbieter: Was tun bei falschen Auftragsbestätigungen?
Telefon- und Internetanbieter
Was tun bei falschen Auftragsbestätigungen?

Bei Telefon- und Internetanschlüssen kommt es öfter vor, dass Verbraucher Auftragsbestätigungen bekommen, obwohl sie nichts bestellt haben.
Von Harald Büring


    Early Access: Spielerisch wertvolle Baustellen
    Early Access
    Spielerisch wertvolle Baustellen

    Vor allen anderen spielen, bei der Entwicklung mitmachen: Golem.de stellt besonders spannende Early-Access-Neuheiten vor.
    Von Rainer Sigl

    1. Hype auf Steam Mehr als 500.000 Menschen spielen Valheim
    2. Hype auf Steam Warum ist Valheim eigentlich so beliebt?
    3. Nur für echte Gamer Die besten Spiele-Geheimtipps 2020