Forum

Frage bezüglich Zertifikate ...
Oktober 21, 2007, 11:19:43
Da beim Öffnen der Seite eine Meldung kam dass das Zertifikate nicht passt, siehe screenshot und da auch hier schon darüber diskutiert wurde.

Ein Zertifikate bestätigt doch, dass die Seite (oder auch ein Programm - gibt diesbezüglich ja schon Diskussionen bei iPhone Fremdapplikationen) vertrauenswürdig ist.

Wie läuft dass denn konkret ab.

Bezüglich des Zertifikat bei t-online verwundert mich etwas folgender Sachverhalt.


==========
Zitat aus FAQ

Warum erhalte ich die Meldung "Zertifikat ist nicht vertrauenswürdig"?
Das von uns verwendete Zertifikat wird Ihr Browser so lange als nicht vertrauenswürdig interpretieren, bis Sie das Zertifikat dem Browser bekannt gemacht haben.

In regelmäßigen Abständen müssen wir das Zertifikat der Anwendung Rechnung Online erneuern. Manchmal kommen Browser mit dieser Erneuerung nicht klar und stellen die Verbindung nicht her, weil sie ein anderes Zertifikat als das neu eingespielte "erwarten". In diesem Fall müssen Sie per Hand das alte Zertifikat in Ihrem Browser löschen.
==========

Ich muss also ein als nicht vertrauenswürdiges Zertifikat manuell irgendwo als vertrauenswürdig definieren ?

Aha ;-)

Kommt mir alles sehr suspekt und unausgegoren vor.
Das mag ja alles theoretisch funktionieren, aber die Praxis wird nicht anders sein als momentan.
So ein Zertifikate müsste doch unabhängig von der Seite gehändelt werden auf die man drauf will.
Oder gibt es da eine Instanz wo man schauen kann ob das Zertifikat gültig ist, wobei die Seite der Instanz ja auch gefälscht sein kann. Wie überprüft man das ?

Wann bekomme ich denn erstmals ein Zertifikat ?
In meinem Schlüselbund gibt es gar kein t-online Zertifikat.

Zudem habe ich mit Safari generell das Problem die t-online Seite zu öffnen um meine Rechnun anzuschauen. Ich muss dazu Firefox nutzen. Vermutlich ginge auch MS IE ?

Jochen
_______
Wenn Du es eilig hast, gehe langsam.

mbs

Re: Frage bezüglich Zertifikate ...
Antwort #1: Oktober 21, 2007, 12:24:09
Zitat
In diesem Fall müssen Sie per Hand das alte Zertifikat in Ihrem Browser löschen.
Ich muss also ein als nicht vertrauenswürdiges Zertifikat manuell irgendwo als vertrauenswürdig definieren ?

Nein, dieser Ausschnitt aus der FAQ hat nichts mit Deinem Problem zu tun. Er bezieht sich nur darauf, dass es gewisse mangelhafte Webbrowser gibt, die veraltete Zertifikate speichern und nicht von selbst löschen. Man muss das dann von Hand machen.

Zitat
So ein Zertifikate müsste doch unabhängig von der Seite gehändelt werden auf die man drauf will.

Jein. Wenn Du Deinen Web-Browser auf eine Seite schickst, die verschlüsselt übertragen werden soll und bei der die Echtheit des Seitenanbieters geprüft werden muss, dann passiert zweierlei: Dein Browser holt sich das Zertifikat, das für diesen Web-Server definiert ist und prüft ebenso, ob auch der Zertfikatsaussteller ein gültiges Zertifikat hat, sowie dessen Zertifikatsausteller und dessen ... usw. bis er auf einen Stammzertifikatsaussteller trifft, der vom Browser-Hersteller als "echt" eingestuft wurde.

Das unterste Zertifikat darf nicht unabhängig von der Seite sein, denn es soll ja gerade die Herkunft dieser Seite als "echt" ausweisen. Deshalb ist dieses Zertifikat fest an den Namen des Web-Servers gebunden.

In Deinem Fall hat der Seitenanbieter etwas Dilettantisches gemacht, nämlich ein Zertifikat für einen Server mit einem anderen Namen hinterlegt. Das Zertifikat gilt offensichtlich gar nicht für den Webserver "www.rechnung-online.telekom.de", sondern für einen anderen. Für welchen genau, müsste angezeigt werden, wenn Du den Pfeil "Details" öffnest.

Was da passiert, wundert mich allerdings, denn wenn ich die Seite öffne, wird mir das korrekte Zertfikat geliefert, und auch der Servername stimmt korrekt überein (siehe Bild unten).

Zitat
Oder gibt es da eine Instanz wo man schauen kann ob das Zertifikat gültig ist, wobei die Seite der Instanz ja auch gefälscht sein kann. Wie überprüft man das ?

All das übernimmt der Browser in dem Moment für Dich, und zwar vollkommen automatisch. Das ist ja gerade der Sinn von Zertifikaten.

In Deinem Fall wurde das Zertifikat von "Deutsche Telekom CA 5" ausgestellt. Diese Instanz wurde mit einem weiteren Zertifikat beglaubigt, das von "GlobalSign Root Sign Partners CA" ausgestellt wurde. Diese Instanz wurde mit einem weiteren Zertifikat beglaubigt, das von "GlobalSign Root CA" ausgestellt wurde. Dieses letzte Zertifikat ist ein Stammzertifikat, das Apple Dir bei der Installation von Mac OS X mitgeliefert hat. Du kannst alle Stammzertifikate, die Apple als beglaubigt ansieht, im Schlüsselbund-Dienstprogramm anzeigen, wenn Du dort die Gruppe "X.509Anchors" öffnest.

Mac OS X kann sogar noch einen Schritt weiter gehen und durch Befragen von dritten Quellen prüfen, ob eines der Zertifikate in der Beglaubigungskette vielleicht inzwischen als nicht mehr gültig zurückgezogen wurde. Hierzu können in den Einstellungen des Schlüsselbund-Dienstprogramms die Features "Online Certificate Status Protocol" und "Certificate Revocation List" aktiviert werden.

Zitat
Wann bekomme ich denn erstmals ein Zertifikat ?

Es wird beim Öffnen einer gesicherten Web-Seite (dort, wo danach ein Schlosssymbol eingeblendet wird) überprüft.

Zitat
In meinem Schlüselbund gibt es gar kein t-online Zertifikat.

Das soll so sein. Es gibt keinen Grund, das Zertifikat zu speichern. Es sollte bei jedem Öffnen einer Seite neu geholt und überprüft werden. Damit wird genau das Problem vermieden, das Du in der FAQ gefunden hast.
« Letzte Änderung: Oktober 21, 2007, 12:33:33 von mbs »
Re: Frage bezüglich Zertifikate ...
Antwort #2: Oktober 21, 2007, 14:30:07
In Deinem Fall hat der Seitenanbieter etwas Dilettantisches gemacht, nämlich ein Zertifikat für einen Server mit einem anderen Namen hinterlegt. Das Zertifikat gilt offensichtlich gar nicht für den Webserver "www.rechnung-online.telekom.de", sondern für einen anderen. Für welchen genau, müsste angezeigt werden, wenn Du den Pfeil "Details" öffnest.

Im Screenshot steht ganz oben, dass es um die Website "www.rechnung-online.de" geht, dass Zertifikat aber sich wie mbs ja auch schreibt, eigentlich für "www.rechnung-online.telekom.de" ist.
Also wie mbs ja auch schon schreibt: Die Telekom versucht ihre Website mit einem nicht passenden Zertifikat als "echt" auszuweisen. Da meckert der Browser zu Recht. Und eigentlich müsste man gleich auf "Abbrechen" klicken und die Telekom-Hotline belästigen, was aber vermutlich bei dem verein sowieso nix bringt.
BTW, gerade bei der Telekom bestehe ich auf einer Papierrechnung.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

mbs

Re: Frage bezüglich Zertifikate ...
Antwort #3: Oktober 21, 2007, 15:37:28
Zitat
Im Screenshot steht ganz oben, dass es um die Website "www.rechnung-online.de" geht

Oops, ja stimmt, das muss ich übersehen haben. Dann ist ja klar, woher die Fehlermeldung kommt.
Re: Frage bezüglich Zertifikate ...
Antwort #4: Oktober 21, 2007, 16:13:10
Irgendwie passt ein solcher Fehler zu den "Typen mit der Mütze". Wahrscheinlich geben die dann den Tipp "klicken Sie einfach auf Weiter", anstatt ein korrektes Zertifikat zu basteln. Otto-Normal-User klickt ja eh ohne zu lesen auf "Weiter". Untergräbt natürlich die Bedeutung solcher Zertifikate, aber die Masse ist leider so. :(
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Frage bezüglich Zertifikate ...
Antwort #5: Oktober 22, 2007, 15:56:59
Ohje, bei der Lizenzierung der CS3 von Adobe passiert genau das Gleiche. Es sind also nicht nur die Typen vom Rosa Riesen, sondern auch Firmen, die es eigentlich besser wissen sollten.

Klick ich jetzt drauf oder nicht?  :P
Ach, egal - klar klick ich auf "fortfahren"...
_______
«Das Internet? Gibt's diesen Blödsinn immer noch?»  (Homer Simpson)
Re: Frage bezüglich Zertifikate ...
Antwort #6: Oktober 22, 2007, 19:40:15
Nun, ich glaube, ich hätte Adobe angesprochen und doof gefragt, wie ich denn nun meine Software Lizensieren soll...
Re: Frage bezüglich Zertifikate ...
Antwort #7: September 05, 2011, 15:05:15
Ach, egal - klar klick ich auf "fortfahren"...

Mir begegneten Zertifikate bisher nur im Browser, wenn das einer Webseite abgelaufen ist. Ich denk mir dann immer "immerhin haben sie's versucht etwas sicherer zu sein als die Webseiten ohne Zertifikate" und klicke 'weiter'. ;D

Wahrscheinlich keine gute Idee:
http://www.heise.de/security/meldung/Ueber-500-Zertifikate-Ausmass-des-CA-Hacks-schlimmer-als-erwartet-1336603.html
http://www.heise.de/security/meldung/CA-Hack-Auch-Anonymisierungs-Projekt-TOR-im-Visier-der-Angreifer-1335074.html

Oder?  (das 'oder' ist tatsächlich nicht affirmativ, sondern als Frage gemeint)

Florian

  • Zurück in der Zukunft
Re: Frage bezüglich Zertifikate ...
Antwort #8: September 05, 2011, 19:15:15
Das Problem ist halt, dass die böse Seite damit so tun kann, als wäre sie die echte, beglaubigt von (in diesem Fall) von DigiNotar. Also quasi eine gefälschte Unterschrift mitsamt geklautem Notarsiegel.

Edit: Und nicht nur das, es wird auch ein Man-in-the-middle-Angriff erleichtert. Eine verschlüsselte Verbindung in fremden Netzen (z.B. Hotel, Zug) kann also aufgebrochen und mitgeschnitten werden.
« Letzte Änderung: September 13, 2011, 12:09:20 von Florian »
_______
"If music be the food of love, play on!”
                         William Shakespeare
“We’re all going to be dead soon, and it really doesn’t matter anymore, so there’s zero pressure.”
Joe Mazzulla, Trainer der Boston Celtics über den Druck auf seinem Team.

Florian

  • Zurück in der Zukunft
Re: Frage bezüglich Zertifikate ...
Antwort #9: September 21, 2011, 12:40:20
Kurz und knapp: DigiNotar wird aufgelöst.
_______
"If music be the food of love, play on!”
                         William Shakespeare
“We’re all going to be dead soon, and it really doesn’t matter anymore, so there’s zero pressure.”
Joe Mazzulla, Trainer der Boston Celtics über den Druck auf seinem Team.
Re: Frage bezüglich Zertifikate ...
Antwort #11: Mai 02, 2012, 14:23:21
Publikation zum Thema Angriffe auf Zertifikatanbieter:
http://www.melani.admin.ch/dokumentation/00123/01132/01143/index.html?lang=de
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)
Re: Frage bezüglich Zertifikate ...
Antwort #12: Oktober 25, 2012, 18:51:44
Die Artikel verstehe ich genau so wenig, wie Zertikate:
http://www.heise.de/security/meldung/SSL-Zertifikate-und-der-gefaehrlichste-Code-der-Welt-1736699.html
http://www.heise.de/security/meldung/Mathematiker-entlarvt-schwache-DKIM-Schluessel-1736107.html

Was bei mir ankommt: Die auf Zertifikaten aufgebaute Sicherheit in weiten Teilen der Internet/Computersicherheit ist unsicherer Murks.

Und verstehen und bedienen kann ich Zertifikate weder theoretisch noch praktisch, geschweige denn auf Echtheit prüfen.
« Letzte Änderung: Oktober 25, 2012, 18:56:42 von radneuerfinder »
Re: Frage bezüglich Zertifikate ...
Antwort #13: Oktober 25, 2012, 19:39:13
… Und verstehen und bedienen kann ich Zertifikate weder theoretisch noch praktisch, geschweige denn auf Echtheit prüfen ...

Eigentlich dachte ich immer, ich wäre ein Nichtversteher und Ihr seid die Kompetenten.

Was soll ich jetzt machen  ;D

Jochen
_______
Wenn Du es eilig hast, gehe langsam.
Re: Frage bezüglich Zertifikate ...
Antwort #14: Oktober 25, 2012, 20:06:24
Eigentlich dachte ich immer, ich wäre ein Nichtversteher...
Korrekt.


...und Ihr seid die Kompetenten.
Falsch.
 ;)