Was ich schon immer wissen wollte…

[Florian]

In diesem Thema könnt Ihr Wünsche für Artikel eintragen - ob die dann aufgegriffen werden, ist zwar nicht sicher - aber wer nicht fragt, der nicht gewinnt.
Der Sinn dieses Forums ist natürlich Richtung Anleitung, grundlegende Fragen. Spezialfragen wie „wie füge ich eine Linie in mein Word-Dokument ein?“ passen nicht hier rein. Siehe: http://www.apfelinsel.de/forum/index.php/topic,389.0.html
Ich denke das ist nachvollziehbar - und die „kleinen“, aber nicht weniger wichtigen, Fragen werden ja in den anderen Unterforen gerne direkt beantwortet.

Beispiele:
Einführung ins Terminal
Triple Boot OS X/Ubuntu/Windows
Mit iPhone über VPN surfen

Wenn Jemand/Mehrere sich eines Themas annehmen wollen, bitte kurz mitteilen.
Allerdings sollte man sich sicher sein, dass man auch bald dazu kommt. Da habe ich mich selbst schon schwer verschätzt.

[radneuerfinder]

Ich hätte da tatsächlich mal einen ArtikelWunsch: Zertifikate in Theorie und Praxis.

Zertifikate kenne ich bisher nur als nervende Fehlermeldung, deren Nicht-Ignorierung unglaublich viel Zeit kostet und nix erkennbares bringt.

[radneuerfinder]

Jetzt mal konkret. Was hat das zu bedeuten?

[Florian]

Die legt OS X bei der Installation an, sind also harmlos.
Warum sie nicht von der ja bei Installation mitkommenden Apple-eigenen Zertifikatsstelle signiert werden, weiß ich leider auch nicht. Eine Frage des Timings wohl.

Edit: Im Apple-Forum steht, dass wären Überbleibsel nach Updates. Das könnte richtig sein.

Den Artikel zu Zertifikaten habe ich irgendwo auf der To-Do-Liste, mehr als die Basics kann ich aber nicht abdecken.

[warlord]

Und endgültig beantworten wird Dir das womöglich auch niemand können. Im Bereich Sicherheit, Schlüsselbund & Co. ist das, was im System tatsächlich vor sich geht, leider allzu häufig etwas ziemlich anderes als das, was Apple dokumentiert hat (wenn Apple denn überhaupt etwas dokumentiert hat). Da kommt man meist nur mit Schätzungen, Vermutungen, trial & error und ähnlichen Annäherungsverfahren weiter... 

[mbs]

Zur konkreten Verwendung dieses Zertifikats kann ich warlord nur beipflichten. Das ist leider von Apple nur mangelhaft dokumentiert.

Warum sie nicht von der ja bei Installation mitkommenden Apple-eigenen Zertifikatsstelle signiert werden, weiß ich leider auch nicht. Eine Frage des Timings wohl.

Das ist allerdings sehr einfach zu erklären: Apple liefert auf keinen Fall eine "Zertifikatsstelle" aus. Das wäre dann ja eine auf diesem Computer ausgelagerte Abteilung von Apple, die jedem Mac OS X-Nutzer das Recht geben würde, im Namen von Apple Dinge zu unterschreiben! Apple liefert lediglich das Zertifikat der Zertifikatsstelle aus. Also in etwa "wenn wir was unterschreiben, dann muss unsere Unterschrift und Stempel so wie auf diesem nicht nachbaren Muster aussehen".

Das Zertifikat im Bild ist halt nicht von Apple unterschrieben, sondern vom jeweiligen Rechner selbst. Das heißt: Nur dieser Rechner kann beurteilen, ob dieses Zertifikat "echt" ist. Außerhalb dieses Rechners kann das niemand und deshalb kann dieses Zertifikat "unabhängig von Dritten gesehen" nicht vertrauenswürdig sein. Das ist aber normal und kein Grund zur Sorge.

Am ehesten kann man das mit Spielgeld vergleichen: Wenn Du mit Kindern Monopoly spielst, dann werden die Kinder schon sehr darauf achten, dass Du im Spiel das "echte" Monopoly-Geld verwendest und nicht etwa Zettel, wo Du "5.000" draufgeschrieben hast. Außerhalb dieses Spiels ist das Monopoly-Geld aber nicht vertrauenswürdig, unter anderem weil es z.B. nicht vom Präsidenten der Zentralbank unterschrieben wurde.

[Florian]

Das ist allerdings sehr einfach zu erklären: Apple liefert auf keinen Fall eine "Zertifikatsstelle" aus. Das wäre dann ja eine auf diesem Computer ausgelagerte Abteilung von Apple, die jedem Mac OS X-Nutzer das Recht geben würde, im Namen von Apple Dinge zu unterschreiben! Apple liefert lediglich das Zertifikat der Zertifikatsstelle aus. Also in etwa "wenn wir was unterschreiben, dann muss unsere Unterschrift und Stempel so wie auf diesem nicht nachbaren Muster aussehen".

Ja, danke, dass wollte ich so ausdrücken und nichts anderes. Ich meinte natürlich das entsprechende Zertifikat.

[radneuerfinder]

Wenn Apple ein Zertifikat ("der Zertifikatsstelle", ja woher denn sonst?? Nein halt, da steht doch "selbstsigniert", also ohne Zertifikatsstelle ) ausliefert, wieso wird dann dieses Zertifikat von einem Apple Computer als "nicht vertrauenswürdig" gebrandmarkt   Wo ist überhaupt die QuellenAngabe/Begründung dieser rot geschreibenen Behauptung? Wo kann ich sehen wer da behauptet??  Und wenn das Zertifikat von Apple ist, wieso ist es von der "Firma System Identität"   Und kann sich nicht jeder "Firma Systemdiät" oder wie auch immer nennen?

Ihr seht schon, bei mir, der totale Nullcheck.

[warlord]

Wenn Apple ein Zertifikat ("der Zertifikatsstelle", ja woher denn sonst?? Nein halt, da steht doch "selbstsigniert", also ohne Zertifikatsstelle ) ausliefert, wieso wird dann dieses Zertifikat von einem Apple Computer als "nicht vertrauenswürdig" gebrandmarkt

Soweit ich es verstanden habe, wurde das Zertifikat nicht von Apple ausgeliefert, sondern von Deinem Rechner generiert und selbst unterschrieben.

Wo ist überhaupt die QuellenAngabe/Begründung dieser rot geschreibenen Behauptung? Wo kann ich sehen wer da behauptet?? 

Im OS ist quasi eine Unterschriftsliste drin, auf der alle Unterschriften jener "Personen" aufgeführt sind, die Apple als vertrauenswürdig bezeichnet hat.   Beim Erzeugen dieses grünen oder roten Schriftzuges vergleich Dein Mac nun einfach, ob das betreffende Root-Zertifikat eine dieser Unterschriften trägt. Findet er die Unterschrift auf seiner Liste, bezeichnet er das Zertifikat in grüner Schrift als vertrauenswürdig. Findet er sie nicht, bezeichnet es das Zertifikat in roter Schrift als nicht vertrauenswürdig.

Dieser Schriftzug richtet sich an den unbedarften Laien. In stark vereinfachenden Worten. Eigentlich so stark vereinfachend, dass es sachlich falsch ist. Denn "nicht vertrauenswürdig" heisst eigentlich nur, "von niemandem unterzeichnet, der von Apple als vertrauenswürdig bezeichnet worden ist". Was natürlich eigentlich überhaupt nicht das selbe ist. Umgekehrt ist auch ein grüner Schriftzug keine absolute Garantie dafür, dass das so Geadelte in jeder Beziehung vertrauenswürdig ist.   

Und wenn das Zertifikat von Apple ist, wieso ist es von der "Firma System Identität"  

Siehe oben, es ist nicht von Apple, es ist von Deinem Rechner.

[radneuerfinder]

Gerade konnte ich Sueddeutsche.de in Safari nicht öffnen, da mir irgendjemand, der seinen Namen nicht nennt, dafür aber in roter Schrift schreibt, mitgeteilt hat, dass das Zertifikat von tracking.irgendwas.com abgelaufen sei. Die einzige mir ersichtliche Handlungsoption, sz.de anzeigen zu lassen, war dem Zertifikat zu vertrauen.

Habe ich das gut gemacht?


Nicht ganz passend, oder doch?
http://www.heise.de/newsticker/meldung/Webseiten-Siegel-Boeses-Omen-statt-Sicherheitsgarant-2482265.html

[Florian]

Was da bei der SZ schief lief, weiß ich nicht.
Vermute einen Fehler bei denen, der nicht wirklich was mit dem Endnutzer zu tun hat, eben das Einbinden einer Tracking-Methode? #

Der Heise-Link hat schon auch was was mit Zertifikaten, SSL, Verschlüsselung zu tun, weil sie natürlich Teil jedes Sicherheitskonzepts sind.
Man kriegt diese Siegel anscheinend  ohne wirkliche Überprüfung - was die ganze Sache kontraproduktiv macht. Das ist der Skandal.