Zertifikate in Schlüsselbund...

[Jochen]

Habe mal bei mir im Schlüsselbund nachgeschaut.

Da sind u.a. 3 Einträge, die ich nicht zuordnen kann.

Namen sind
a) Thawte Code Signing CA
b) Gallery
c) Thawte Premium Server CA

Bei Typ steht überall Zertifikat

Bei Datum Erstellt und geändert steht nichts.

Name des Aussteller: ZA
Bundesland: Western Cape
Ort: Cape Town
Organisation: Thawte Consulting cc

usw.

Weiss jemand was das sein kann

Jochen

[Florian]

Thawte ist eine südafrikanische Tochter von Verisign.
Die Zertifikate werden von Apple (auch in vielen Browsern, nur Apple macht es zentral im Schlüsselbund) vorinstalliert, denn Thawte gilt als vertrauenswürdige Instanz. Wären auf Deinem Mac diese Zertifikate nicht im Fach "X509 Anchors", könntest Du nicht mit Servern verschlüsselte Kommunikation betreiben (über https), die von Thawte Zertifikate gekauft haben. Denn das System würde das Zertifikat zwar übermittelt bekommen, würde aber die Ausgabestelle nicht kennen. Prinzipiell kann ja jeder Zertifikate ausstellen. Nur vertrauenswürdige Instanzen garantieren, in diesem Modell, also die tatsächliche Identität.
In "X509 Anchors" sind noch viele weiterer Zertifikate von einigen Firmen.

Gallery sagt mir gar nichts. Ist das auch von Thawte?

[Jochen]

...Wären auf Deinem Mac diese Zertifikate nicht im Fach "X509 Anchors"...

...Gallery sagt mir gar nichts. Ist das auch von Thawte? ...

Danke

Und was ist Fach "X509 Anchors"

Bei Gallery steht:
Land: ZA
Organistaion: Thawte Consulting (Pty) Ldt
Allgemeiner Name: Thawte Code Signing CA

also das gleiche.

Jochen

[Florian]

Links oben siehst Du die Übersicht der Schlüsselbunde, i.d.R.:
Dein Kurzname
System
X509-Anchors

X509-Anchors bezieht sich auf den X.509-Standard, der die oben beschriebene Methode zur Zertifikatsverwaltung/-überprüfung vereinbarte.
Anker eben, weil man auf die darin enthaltenen Zertifikate vertrauen kann.

Zu Gallery fällt mir nichts ein. Ist das sicher nicht das Zertifikat (bzw. der öffentliche Schlüssel) eines Kommunikationspartners, eben von Thawte herausgegeben? Um den im Schlüsselbund zu haben, reicht eine signierte Email.
Allerdings muss dann der Name irgendwo im Zertifikat auftauchen, und zwar eigentlich ganz oben.

[Jochen]

Links oben siehst Du die Übersicht der Schlüsselbunde, i.d.R.:

Bei mir unter 10.3.9 steht in der sidebar, die ich mit "Schlüsselbund ausblenden/einblenden" aus- und einfahren kann nur folgendes:

Anmeldung
System

Jochen

[Florian]

Hm, ich kann mich jetzt nicht mehr an Panther erinnern, kann aber schon sein, daß das geändert wurde.
Jetzt bin ich dann aber auch überfragt, woher die Zertifikate kommen, wenn Du sie ja gar nicht in dem Ordner siehst...
Kann das mit Deiner Firma zusammenhängen? Womöglich hat man Dir die Zertifikate mal zu Installieren gegeben, damit die Kommunikation reibungslos klappt, und beim Anklicken sind sie in den Schlüsselbund kopiert worden?
So oder so ähnlich sind die da wohl reingekommen, würde ich vermuten.

Nun, tut mir leid, mehr kann ich dazu nicht mehr sagen. Aber sie stören ja auch nicht und richten definitiv dort kein Unheil an.

[Jochen]

Kann das mit Deiner Firma zusammenhängen? Womöglich hat man Dir die Zertifikate mal zu Installieren gegeben, damit die Kommunikation reibungslos klappt, und beim Anklicken sind sie in den Schlüsselbund kopiert worden?
So oder so ähnlich sind die da wohl reingekommen, würde ich vermuten.

Sage mal, ich arbeite in einer Weltfirma und die arbeitet mit dem besten Betriebssystem was es gibt.

Also von daher ist nichts möglich ;-)

Jochen

[mbs]

Die Schlüsselbund-Programme von Panther und Tiger unterscheiden sich ganz erheblich. Die Benutzeroberfläche wurde komplett umgestellt und die Tiger-Version besitzt eine eigene Zertifikatsverwaltung sowie ein weiteres Zusatzprogramm, den "Zertifikatsassistenten". Die vorinstallierten Zertifikate gab es in Panther noch nicht, nur im Internet Explorer... *hüstel*

Wie die Zertifikate bei Dir dorthin gekommen sind, kann ich auch nicht sagen. Du könntest z.B. ein Programm installiert haben, das diese Zertfikate benötigt, um auf sichere Weise kritische Dinge aus dem Internet nachzuladen, z.B. einen Virenscanner oder eine Online-Banking-Komponente. Es könnte auch sein, dass Dir jemand eine digital unterschriebene E-Mail zugeschickt hat. Die dafür nötigen Zertifikate werden in bestimmten Situationen zwischengespeichert, normalerweise sollte aber dann die jeweilige Mail-Adresse irgendwo erkennbar sein.

Ist klar, wie ein Zertifikat funktioniert? Ein Zertifikat ist eine digitale Echtheitsbestätigung, die ein bestimmtes Objekt - normalerweise einen Benutzer oder einen Server - als echt ausweist.

Ein Zertifikat ist ganz gut mit einem Personalausweis vergleichbar: Wenn ich nachprüfen will, ob Du der bist, für den Du Dich ausgibst, kann ich mir Deinen Ausweis vorzeigen lassen. Wenn ich prüfen will, ob der Ausweis echt ist, kann ich zur ausstellenden Stadtverwaltung gehen. Und wenn ich ganz paranoid bin, kann ich zum Landesinnenministerium gehen, um prüfen zu lassen, ob die Stadtverwaltung echt ist.  Und wenn ich denen nicht traue, gehe ich zum Bundesinnenminister und dann noch zur UNO...

Auf die gleiche Weise funktioniert ein Zertifikat: Es bescheinigt, dass das auf dem Zertifikat genannte Objekt echt ist. Um das Zertifikat zu prüfen, kann ich das Zertifikat des Zertifikatsausstellers (CA, Certificate Authority) prüfen lassen, und dann wieder das Zertifikat dieses Zertifikatsausstellers, usw. Es ergibt sich eine Kette von Echtheitsbestätigungen. Diese Kette ist natürlich irgendwann zu Ende. Am Ende (dem "Anker") befindet sich eine Partei, der man wohl oder übel trauen muss, ein Wurzelzertifikatsaussteller (Root-CA).

In Tiger liefert Apple bereits die Zertifikate der weltweit wichtigsten Root-CAs mit. Sie befinden sich in einer speziellen Liste, die "X509Anchors" heißt. X.509 ist eine internationale Norm zur Speicherung der Schlüsselinformationen, auf denen die Zertifikate beruhen.