ausblenden > Mac-Software
Frage bezüglich Zertifikate ...
Jochen:
Da beim Öffnen der Seite eine Meldung kam dass das Zertifikate nicht passt, siehe screenshot und da auch hier schon darüber diskutiert wurde.
Ein Zertifikate bestätigt doch, dass die Seite (oder auch ein Programm - gibt diesbezüglich ja schon Diskussionen bei iPhone Fremdapplikationen) vertrauenswürdig ist.
Wie läuft dass denn konkret ab.
Bezüglich des Zertifikat bei t-online verwundert mich etwas folgender Sachverhalt.
==========
Zitat aus FAQ
Warum erhalte ich die Meldung "Zertifikat ist nicht vertrauenswürdig"?
Das von uns verwendete Zertifikat wird Ihr Browser so lange als nicht vertrauenswürdig interpretieren, bis Sie das Zertifikat dem Browser bekannt gemacht haben.
In regelmäßigen Abständen müssen wir das Zertifikat der Anwendung Rechnung Online erneuern. Manchmal kommen Browser mit dieser Erneuerung nicht klar und stellen die Verbindung nicht her, weil sie ein anderes Zertifikat als das neu eingespielte "erwarten". In diesem Fall müssen Sie per Hand das alte Zertifikat in Ihrem Browser löschen.
==========
Ich muss also ein als nicht vertrauenswürdiges Zertifikat manuell irgendwo als vertrauenswürdig definieren ?
Aha ;-)
Kommt mir alles sehr suspekt und unausgegoren vor.
Das mag ja alles theoretisch funktionieren, aber die Praxis wird nicht anders sein als momentan.
So ein Zertifikate müsste doch unabhängig von der Seite gehändelt werden auf die man drauf will.
Oder gibt es da eine Instanz wo man schauen kann ob das Zertifikat gültig ist, wobei die Seite der Instanz ja auch gefälscht sein kann. Wie überprüft man das ?
Wann bekomme ich denn erstmals ein Zertifikat ?
In meinem Schlüselbund gibt es gar kein t-online Zertifikat.
Zudem habe ich mit Safari generell das Problem die t-online Seite zu öffnen um meine Rechnun anzuschauen. Ich muss dazu Firefox nutzen. Vermutlich ginge auch MS IE ?
Jochen
mbs:
--- Zitat ---In diesem Fall müssen Sie per Hand das alte Zertifikat in Ihrem Browser löschen.
Ich muss also ein als nicht vertrauenswürdiges Zertifikat manuell irgendwo als vertrauenswürdig definieren ?
--- Ende Zitat ---
Nein, dieser Ausschnitt aus der FAQ hat nichts mit Deinem Problem zu tun. Er bezieht sich nur darauf, dass es gewisse mangelhafte Webbrowser gibt, die veraltete Zertifikate speichern und nicht von selbst löschen. Man muss das dann von Hand machen.
--- Zitat ---So ein Zertifikate müsste doch unabhängig von der Seite gehändelt werden auf die man drauf will.
--- Ende Zitat ---
Jein. Wenn Du Deinen Web-Browser auf eine Seite schickst, die verschlüsselt übertragen werden soll und bei der die Echtheit des Seitenanbieters geprüft werden muss, dann passiert zweierlei: Dein Browser holt sich das Zertifikat, das für diesen Web-Server definiert ist und prüft ebenso, ob auch der Zertfikatsaussteller ein gültiges Zertifikat hat, sowie dessen Zertifikatsausteller und dessen ... usw. bis er auf einen Stammzertifikatsaussteller trifft, der vom Browser-Hersteller als "echt" eingestuft wurde.
Das unterste Zertifikat darf nicht unabhängig von der Seite sein, denn es soll ja gerade die Herkunft dieser Seite als "echt" ausweisen. Deshalb ist dieses Zertifikat fest an den Namen des Web-Servers gebunden.
In Deinem Fall hat der Seitenanbieter etwas Dilettantisches gemacht, nämlich ein Zertifikat für einen Server mit einem anderen Namen hinterlegt. Das Zertifikat gilt offensichtlich gar nicht für den Webserver "www.rechnung-online.telekom.de", sondern für einen anderen. Für welchen genau, müsste angezeigt werden, wenn Du den Pfeil "Details" öffnest.
Was da passiert, wundert mich allerdings, denn wenn ich die Seite öffne, wird mir das korrekte Zertfikat geliefert, und auch der Servername stimmt korrekt überein (siehe Bild unten).
--- Zitat ---Oder gibt es da eine Instanz wo man schauen kann ob das Zertifikat gültig ist, wobei die Seite der Instanz ja auch gefälscht sein kann. Wie überprüft man das ?
--- Ende Zitat ---
All das übernimmt der Browser in dem Moment für Dich, und zwar vollkommen automatisch. Das ist ja gerade der Sinn von Zertifikaten.
In Deinem Fall wurde das Zertifikat von "Deutsche Telekom CA 5" ausgestellt. Diese Instanz wurde mit einem weiteren Zertifikat beglaubigt, das von "GlobalSign Root Sign Partners CA" ausgestellt wurde. Diese Instanz wurde mit einem weiteren Zertifikat beglaubigt, das von "GlobalSign Root CA" ausgestellt wurde. Dieses letzte Zertifikat ist ein Stammzertifikat, das Apple Dir bei der Installation von Mac OS X mitgeliefert hat. Du kannst alle Stammzertifikate, die Apple als beglaubigt ansieht, im Schlüsselbund-Dienstprogramm anzeigen, wenn Du dort die Gruppe "X.509Anchors" öffnest.
Mac OS X kann sogar noch einen Schritt weiter gehen und durch Befragen von dritten Quellen prüfen, ob eines der Zertifikate in der Beglaubigungskette vielleicht inzwischen als nicht mehr gültig zurückgezogen wurde. Hierzu können in den Einstellungen des Schlüsselbund-Dienstprogramms die Features "Online Certificate Status Protocol" und "Certificate Revocation List" aktiviert werden.
--- Zitat ---Wann bekomme ich denn erstmals ein Zertifikat ?
--- Ende Zitat ---
Es wird beim Öffnen einer gesicherten Web-Seite (dort, wo danach ein Schlosssymbol eingeblendet wird) überprüft.
--- Zitat ---In meinem Schlüselbund gibt es gar kein t-online Zertifikat.
--- Ende Zitat ---
Das soll so sein. Es gibt keinen Grund, das Zertifikat zu speichern. Es sollte bei jedem Öffnen einer Seite neu geholt und überprüft werden. Damit wird genau das Problem vermieden, das Du in der FAQ gefunden hast.
MacFlieger:
--- Zitat von: mbs am Oktober 21, 2007, 12:24:09 ---In Deinem Fall hat der Seitenanbieter etwas Dilettantisches gemacht, nämlich ein Zertifikat für einen Server mit einem anderen Namen hinterlegt. Das Zertifikat gilt offensichtlich gar nicht für den Webserver "www.rechnung-online.telekom.de", sondern für einen anderen. Für welchen genau, müsste angezeigt werden, wenn Du den Pfeil "Details" öffnest.
--- Ende Zitat ---
Im Screenshot steht ganz oben, dass es um die Website "www.rechnung-online.de" geht, dass Zertifikat aber sich wie mbs ja auch schreibt, eigentlich für "www.rechnung-online.telekom.de" ist.
Also wie mbs ja auch schon schreibt: Die Telekom versucht ihre Website mit einem nicht passenden Zertifikat als "echt" auszuweisen. Da meckert der Browser zu Recht. Und eigentlich müsste man gleich auf "Abbrechen" klicken und die Telekom-Hotline belästigen, was aber vermutlich bei dem verein sowieso nix bringt.
BTW, gerade bei der Telekom bestehe ich auf einer Papierrechnung.
mbs:
--- Zitat ---Im Screenshot steht ganz oben, dass es um die Website "www.rechnung-online.de" geht
--- Ende Zitat ---
Oops, ja stimmt, das muss ich übersehen haben. Dann ist ja klar, woher die Fehlermeldung kommt.
MacFlieger:
Irgendwie passt ein solcher Fehler zu den "Typen mit der Mütze". Wahrscheinlich geben die dann den Tipp "klicken Sie einfach auf Weiter", anstatt ein korrektes Zertifikat zu basteln. Otto-Normal-User klickt ja eh ohne zu lesen auf "Weiter". Untergräbt natürlich die Bedeutung solcher Zertifikate, aber die Masse ist leider so. :(
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln