Apfelinsel

Mac-Software => Thema gestartet von: Jochen am Oktober 21, 2007, 11:19:43

Titel: Frage bezüglich Zertifikate ...
Beitrag von: Jochen am Oktober 21, 2007, 11:19:43
Da beim Öffnen der Seite eine Meldung kam dass das Zertifikate nicht passt, siehe screenshot und da auch hier schon darüber diskutiert wurde.

Ein Zertifikate bestätigt doch, dass die Seite (oder auch ein Programm - gibt diesbezüglich ja schon Diskussionen bei iPhone Fremdapplikationen) vertrauenswürdig ist.

Wie läuft dass denn konkret ab.

Bezüglich des Zertifikat bei t-online verwundert mich etwas folgender Sachverhalt.


==========
Zitat aus FAQ

Warum erhalte ich die Meldung "Zertifikat ist nicht vertrauenswürdig"?
Das von uns verwendete Zertifikat wird Ihr Browser so lange als nicht vertrauenswürdig interpretieren, bis Sie das Zertifikat dem Browser bekannt gemacht haben.

In regelmäßigen Abständen müssen wir das Zertifikat der Anwendung Rechnung Online erneuern. Manchmal kommen Browser mit dieser Erneuerung nicht klar und stellen die Verbindung nicht her, weil sie ein anderes Zertifikat als das neu eingespielte "erwarten". In diesem Fall müssen Sie per Hand das alte Zertifikat in Ihrem Browser löschen.
==========

Ich muss also ein als nicht vertrauenswürdiges Zertifikat manuell irgendwo als vertrauenswürdig definieren ?

Aha ;-)

Kommt mir alles sehr suspekt und unausgegoren vor.
Das mag ja alles theoretisch funktionieren, aber die Praxis wird nicht anders sein als momentan.
So ein Zertifikate müsste doch unabhängig von der Seite gehändelt werden auf die man drauf will.
Oder gibt es da eine Instanz wo man schauen kann ob das Zertifikat gültig ist, wobei die Seite der Instanz ja auch gefälscht sein kann. Wie überprüft man das ?

Wann bekomme ich denn erstmals ein Zertifikat ?
In meinem Schlüselbund gibt es gar kein t-online Zertifikat.

Zudem habe ich mit Safari generell das Problem die t-online Seite zu öffnen um meine Rechnun anzuschauen. Ich muss dazu Firefox nutzen. Vermutlich ginge auch MS IE ?

Jochen
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: mbs am Oktober 21, 2007, 12:24:09
Zitat
In diesem Fall müssen Sie per Hand das alte Zertifikat in Ihrem Browser löschen.
Ich muss also ein als nicht vertrauenswürdiges Zertifikat manuell irgendwo als vertrauenswürdig definieren ?

Nein, dieser Ausschnitt aus der FAQ hat nichts mit Deinem Problem zu tun. Er bezieht sich nur darauf, dass es gewisse mangelhafte Webbrowser gibt, die veraltete Zertifikate speichern und nicht von selbst löschen. Man muss das dann von Hand machen.

Zitat
So ein Zertifikate müsste doch unabhängig von der Seite gehändelt werden auf die man drauf will.

Jein. Wenn Du Deinen Web-Browser auf eine Seite schickst, die verschlüsselt übertragen werden soll und bei der die Echtheit des Seitenanbieters geprüft werden muss, dann passiert zweierlei: Dein Browser holt sich das Zertifikat, das für diesen Web-Server definiert ist und prüft ebenso, ob auch der Zertfikatsaussteller ein gültiges Zertifikat hat, sowie dessen Zertifikatsausteller und dessen ... usw. bis er auf einen Stammzertifikatsaussteller trifft, der vom Browser-Hersteller als "echt" eingestuft wurde.

Das unterste Zertifikat darf nicht unabhängig von der Seite sein, denn es soll ja gerade die Herkunft dieser Seite als "echt" ausweisen. Deshalb ist dieses Zertifikat fest an den Namen des Web-Servers gebunden.

In Deinem Fall hat der Seitenanbieter etwas Dilettantisches gemacht, nämlich ein Zertifikat für einen Server mit einem anderen Namen hinterlegt. Das Zertifikat gilt offensichtlich gar nicht für den Webserver "www.rechnung-online.telekom.de", sondern für einen anderen. Für welchen genau, müsste angezeigt werden, wenn Du den Pfeil "Details" öffnest.

Was da passiert, wundert mich allerdings, denn wenn ich die Seite öffne, wird mir das korrekte Zertfikat geliefert, und auch der Servername stimmt korrekt überein (siehe Bild unten).

Zitat
Oder gibt es da eine Instanz wo man schauen kann ob das Zertifikat gültig ist, wobei die Seite der Instanz ja auch gefälscht sein kann. Wie überprüft man das ?

All das übernimmt der Browser in dem Moment für Dich, und zwar vollkommen automatisch. Das ist ja gerade der Sinn von Zertifikaten.

In Deinem Fall wurde das Zertifikat von "Deutsche Telekom CA 5" ausgestellt. Diese Instanz wurde mit einem weiteren Zertifikat beglaubigt, das von "GlobalSign Root Sign Partners CA" ausgestellt wurde. Diese Instanz wurde mit einem weiteren Zertifikat beglaubigt, das von "GlobalSign Root CA" ausgestellt wurde. Dieses letzte Zertifikat ist ein Stammzertifikat, das Apple Dir bei der Installation von Mac OS X mitgeliefert hat. Du kannst alle Stammzertifikate, die Apple als beglaubigt ansieht, im Schlüsselbund-Dienstprogramm anzeigen, wenn Du dort die Gruppe "X.509Anchors" öffnest.

Mac OS X kann sogar noch einen Schritt weiter gehen und durch Befragen von dritten Quellen prüfen, ob eines der Zertifikate in der Beglaubigungskette vielleicht inzwischen als nicht mehr gültig zurückgezogen wurde. Hierzu können in den Einstellungen des Schlüsselbund-Dienstprogramms die Features "Online Certificate Status Protocol" und "Certificate Revocation List" aktiviert werden.

Zitat
Wann bekomme ich denn erstmals ein Zertifikat ?

Es wird beim Öffnen einer gesicherten Web-Seite (dort, wo danach ein Schlosssymbol eingeblendet wird) überprüft.

Zitat
In meinem Schlüselbund gibt es gar kein t-online Zertifikat.

Das soll so sein. Es gibt keinen Grund, das Zertifikat zu speichern. Es sollte bei jedem Öffnen einer Seite neu geholt und überprüft werden. Damit wird genau das Problem vermieden, das Du in der FAQ gefunden hast.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: MacFlieger am Oktober 21, 2007, 14:30:07
In Deinem Fall hat der Seitenanbieter etwas Dilettantisches gemacht, nämlich ein Zertifikat für einen Server mit einem anderen Namen hinterlegt. Das Zertifikat gilt offensichtlich gar nicht für den Webserver "www.rechnung-online.telekom.de", sondern für einen anderen. Für welchen genau, müsste angezeigt werden, wenn Du den Pfeil "Details" öffnest.

Im Screenshot steht ganz oben, dass es um die Website "www.rechnung-online.de" geht, dass Zertifikat aber sich wie mbs ja auch schreibt, eigentlich für "www.rechnung-online.telekom.de" ist.
Also wie mbs ja auch schon schreibt: Die Telekom versucht ihre Website mit einem nicht passenden Zertifikat als "echt" auszuweisen. Da meckert der Browser zu Recht. Und eigentlich müsste man gleich auf "Abbrechen" klicken und die Telekom-Hotline belästigen, was aber vermutlich bei dem verein sowieso nix bringt.
BTW, gerade bei der Telekom bestehe ich auf einer Papierrechnung.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: mbs am Oktober 21, 2007, 15:37:28
Zitat
Im Screenshot steht ganz oben, dass es um die Website "www.rechnung-online.de" geht

Oops, ja stimmt, das muss ich übersehen haben. Dann ist ja klar, woher die Fehlermeldung kommt.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: MacFlieger am Oktober 21, 2007, 16:13:10
Irgendwie passt ein solcher Fehler zu den "Typen mit der Mütze". Wahrscheinlich geben die dann den Tipp "klicken Sie einfach auf Weiter", anstatt ein korrektes Zertifikat zu basteln. Otto-Normal-User klickt ja eh ohne zu lesen auf "Weiter". Untergräbt natürlich die Bedeutung solcher Zertifikate, aber die Masse ist leider so. :(
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: FOX am Oktober 22, 2007, 15:56:59
Ohje, bei der Lizenzierung der CS3 von Adobe passiert genau das Gleiche. Es sind also nicht nur die Typen vom Rosa Riesen, sondern auch Firmen, die es eigentlich besser wissen sollten.

Klick ich jetzt drauf oder nicht?  :P
Ach, egal - klar klick ich auf "fortfahren"...
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Thyrfing am Oktober 22, 2007, 19:40:15
Nun, ich glaube, ich hätte Adobe angesprochen und doof gefragt, wie ich denn nun meine Software Lizensieren soll...
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am September 05, 2011, 15:05:15
Ach, egal - klar klick ich auf "fortfahren"...

Mir begegneten Zertifikate bisher nur im Browser, wenn das einer Webseite abgelaufen ist. Ich denk mir dann immer "immerhin haben sie's versucht etwas sicherer zu sein als die Webseiten ohne Zertifikate" und klicke 'weiter'. ;D

Wahrscheinlich keine gute Idee:
http://www.heise.de/security/meldung/Ueber-500-Zertifikate-Ausmass-des-CA-Hacks-schlimmer-als-erwartet-1336603.html
http://www.heise.de/security/meldung/CA-Hack-Auch-Anonymisierungs-Projekt-TOR-im-Visier-der-Angreifer-1335074.html

Oder?  (das 'oder' ist tatsächlich nicht affirmativ, sondern als Frage (http://www.apfelinsel.de/forum/index.php/topic,4632.msg72356.html#msg72356) gemeint)
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Florian am September 05, 2011, 19:15:15
Das Problem ist halt, dass die böse Seite damit so tun kann, als wäre sie die echte, beglaubigt von (in diesem Fall) von DigiNotar. Also quasi eine gefälschte Unterschrift mitsamt geklautem Notarsiegel.

Edit: Und nicht nur das, es wird auch ein Man-in-the-middle-Angriff erleichtert. Eine verschlüsselte Verbindung in fremden Netzen (z.B. Hotel, Zug) kann also aufgebrochen und mitgeschnitten werden.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Florian am September 21, 2011, 12:40:20
Kurz und knapp: DigiNotar wird aufgelöst (http://www.heise.de/security/meldung/DigiNotar-wird-liquidiert-1347001.html).
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am November 05, 2011, 17:57:26
http://www.heise.de/security/meldung/Zertifikatsausgabestopp-nach-Einbruch-auf-einem-KPN-Server-1372279.html
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: warlord am Mai 02, 2012, 14:23:21
Publikation zum Thema Angriffe auf Zertifikatanbieter:
http://www.melani.admin.ch/dokumentation/00123/01132/01143/index.html?lang=de
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am Oktober 25, 2012, 18:51:44
Die Artikel verstehe ich genau so wenig, wie Zertikate:
http://www.heise.de/security/meldung/SSL-Zertifikate-und-der-gefaehrlichste-Code-der-Welt-1736699.html
http://www.heise.de/security/meldung/Mathematiker-entlarvt-schwache-DKIM-Schluessel-1736107.html

Was bei mir ankommt: Die auf Zertifikaten aufgebaute Sicherheit in weiten Teilen der Internet/Computersicherheit ist unsicherer Murks.

Und verstehen und bedienen kann ich Zertifikate weder theoretisch noch praktisch, geschweige denn auf Echtheit prüfen.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Jochen am Oktober 25, 2012, 19:39:13
… Und verstehen und bedienen kann ich Zertifikate weder theoretisch noch praktisch, geschweige denn auf Echtheit prüfen ...

Eigentlich dachte ich immer, ich wäre ein Nichtversteher und Ihr seid die Kompetenten.

Was soll ich jetzt machen  ;D

Jochen
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: fränk am Oktober 25, 2012, 20:06:24
Eigentlich dachte ich immer, ich wäre ein Nichtversteher...
Korrekt.


...und Ihr seid die Kompetenten.
Falsch.
 ;)
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Florian am Oktober 26, 2012, 01:52:49
Der erste Link dreht sich um die fehlerhafte Implementation von verschlüsselten Verbindungen in Programmen. Also um Programmierfehler.
Beim zweiten geht es ganz einfach um zu kurze Passwörter.

Das sind beides Schlampereien, die an der Sinnhaftigkeit des Systems nicht rütteln.

Ja, es gibt viele Stellschrauben, an denen man sich vertun kann. Hauptgrund für mich ist aber die fehlende Verbreitung von seriösem Umgang mit Daten. Das Problembewusstsein ist einfach nicht da.

Ich schreibe, soweit es die Zeit erlaubt (also „bald") gerne was Längeres zum Zertifikat-Systems, aber eigentlich ist es ganz einfach.

Person/Seite A will eine Verschlüsselung aufbauen. Im SSL-System weist sie sich dazu aus mit einem Zertifikat, das sowohl Identität als auch öffentlichen Schlüssel beinhaltet.
Diese Identität wird von allgemein anerkannten Privatunternehmen wie Thawte mehr oder weniger gut überprüft, wie gut sieht man am Zertifikat. Das im Falle von Webseiten am weitesten verbreitete „Domain validated“ ist die wenigstens strenge Überprüfung und natürlich die billigste. Konkret bekommt man meistens eine Email, ob man dieses Zertifikat auch angefordert hat.
Und eine Menge anderer Daten steht auch noch drin. Schön also wenn man das Zertifikat angezeigt bekommt, was bei den meisten Programmen nicht der Fall ist, außer Browser und Email-Clients.
Es gibt natürlich auch Zertifikate ohne Identitätsprüfung. So könnte ich mir eins selbst ausstellen und benutzen. Ich stehe aber nicht im OS-X-eigenen Schlüsselbund als vertrauenswürdige Instanz und so kommt eine entsprechende Meldung in Safari oder Mail.

Im Fall einer Webseite zeigt die Seite dem Browser das Zertifikat:
„Hallo, ich bin XY.xy, geprüft VON ZZ (und zwar mit Methode M) und mein öffentlicher Schlüssel ist 6djd6dute….
Dieser Ausweis ist gültig bis X.X:XXXX)"
Daraufhin schaut der Browser in seinen/den Schlüsselbund, ob denn ZZ unter den vertrauenswürdigen Zertifikationsinstanzen gelistet ist. Falls nicht, kommt eine Fehlermeldung. Oder auch, wenn das Zertifikat abgelaufen ist.
Ist das Zertifikat scheinbar i.O., baut der Browser eine verschlüsselte Verbindung auf. Dazu generiert er einen sog. Session-Schlüssel und verbindet diesen mit dem öffentlichen Schlüssel der Seite zu einem gemeinsamen einmaligen Schlüssel/Passwort, mit dem die Verbindung abgesichert wird.

Analog läuft das bei Emails (wo zwei öffentliche Schlüssel zum Passwort verbunden werden) oder anderen Datenverbindungen.


Konkrete Gefahr ist der Man-in-the-middle-Angriff, gängiges Szenario wäre das Hotel-WLAN. Das ist bekannt und darum müsste Client-Software eigentlich schon so programmiert werden, dass sie Zertifikate richtig prüft und einordnet. Dies ist aber, wie Link 1 zeigt, leider oft nicht der Fall.



Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: warlord am Oktober 26, 2012, 15:42:46
Ich glaube nicht, dass es sich dabei überall um Programmierfehler handelt - bzw. man greift da deutlich zu kurz, wenn man das einfach als Programmierfehler abtut. Es wird sicher auch solche darunter haben. Aber ich bin mir ziemlich sicher, es hat darunter viele Fälle, in welchen die Programmierer durchaus wissen, was sie tun und es mit voller Absicht tun. Nicht, weil sie böse sind oder den Nutzern schaden wollen. Sondern ganz einfach, weil sie Software schreiben wollen, die funktioniert (im Sinne von: ihren Hauptzweck ohne zu murren erfüllt).

In sehr vielen Anwendungsbereichen wird nämlich Software, die selbstsignierte und/oder abgelaufene Zertifikate nicht akzeptiert häufiger nicht funktionieren, als dass sie funktioniert. Und was tut der Nutzer dann? "Scheiss Software! So'n Mist ist ja nicht zu gebrauchen! ..."

Ich würde das viel eher als Zertifikat- bzw. Zertifizierungsproblem bezeichnen. Überall und an allen Ecken und Enden gibt es selbstsignierte und/oder abgelaufene Zertifikate. Und wieso ist das so? Zertifikate sind umständlich zu erhalten, teuer und nur lächerlich kurz gültig.  In so einem Umfeld lässt sich gar keine sichere SSL-Software betreiben. Es ist ein Infrastruktur-Problem und nicht ein Programmierproblem.

Digitale Identitätsausweise (also Zertifikate) sind bzw. wären etwas vom Wichtigsten für das gute Funktionieren einer zunehmend digital funktionierenden Volkswirtschaft. Während es im analogen Leben als Staatsaufgabe betrachtet wird, Identitätsnachweise auszustellen, haben sich die europäischen Staaten bisher kaum um digitale IDs gekümmert. Bzw. sie beginnen damit erst zögerlich (z.B. Deutschland mit dem neuen Perso), beschränken sich dabei aber wie im analogen Leben ausschliesslich auf natürliche Personen. Den Rest überlässt man sich selbst bzw. einem Markt, der irgendwie nicht recht funktionieren will. Es gibt kaum europäische Anbieter. Und die Anbieter, die es weltweit gibt, bieten schlecht organisierte und nicht wirklich überzeugende Identifikationen und verkaufen überteuerte Zertifikate mit zu kurzen Laufzeiten. Mit dem Resultat, dass nur gerade dort, wo absolut sicherheitskritisch, anständige Zertifikate eingesetzt werden.

Und während insbesondere die europäischen Staaten sonst jeden erdenklichen Mist, der im freien Markt besser aufgehoben wäre, als Staatsaufgabe betrachten bzw. sich einmischen, geschieht bei diesem ziemlich kritischen Marktversagen einfach nichts. Und so wird bezüglich Zertifikate weiterhin gewurstelt und die Ursache für eine ganze Reihe von Sicherheitsproblemen weiterhin Anwendungsentwicklern in die Schuhe geschoben...
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Florian am Oktober 26, 2012, 16:11:43
Du bringst einen sehr guten Punkt, aber so teuer sind Zertifikate auch nicht. Oder sagen wir mal so: Fehlendes Problembewusstsein und Spar-Interesse ergänzen sich hier wunderbar.
Es ist halt die Frage, was einem das wert ist. Diese Frage betrifft freilich auch die Kunden bzw. Nutzer. 

Das so viele mit abgelaufenen oder selbstsignierten Zertifikaten arbeiten, finde ich inakzeptabel. Entweder verschlüsselt man möglichst richtig oder eben nicht. Sonst führt man doch nur den User in die Irre. Zumindest sollte man über die Einschränkungen informieren.

Ich gehe mit Dir einig, dass es eigentlich eine staatliche Aufgabe wäre. Deutschland war m.W. das erste Land mit einem Gesetz zur digitalen Signatur, aber dann ging nichts weiter.

Da das nicht zu kommen scheint, muss man sich eben anders arrangieren. Da gäbe es viele Verbesserungsmöglichkeiten. So wäre wohl besser, wenn man z.B. beim Hosting-Provider zum Server oder DSL-Vertrag gleich eine Identitätsprüfung dazu bestellen könnte.
Zum anderen könnte man auch privat oder halbstaatlich ein Web-of-Trust aufbauen, hier müsste es jedenfalls eine Organisation geben, die als vertrauenswürdig bekannt und allgemein anerkannt ist. Von mir aus der TÜV.
Da man bei jedem Handy-Vertrag heute den Ausweis vorzeigen muss, wäre das für natürliche Personen auch ein Weg zur schnellen Identifizierung.

Kreativität ist gefordert, aber wie gesagt: Den meisten Leuten ist das Problem nicht bewusst oder es ist ihnen schlicht egal.

Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am Oktober 26, 2012, 21:53:30
Mir ist es nicht egal. Aber ich bekomme nix zur Hand das ich handhaben könnte.

Ich finde die Analyse von warlord sehr einleuchtend. 
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Florian am Oktober 26, 2012, 22:25:06
Einfache Zertifikate von anerkannten Stellen gibt es sogar umsonst. Es gibt Community-Ansätze, die sich schon längst durchgesetzt hätten, wäre das Interesse der Leute da.
Extended Validation kostet dann halt ein paar hundert Euro im Jahr.
So kompliziert ist das m.E. nicht.

Ich sage mal ganz keck: Wer solche Summen und etwas Einarbeit nicht aufbringen kann, ist vielleicht auch nicht der richtige um sensible Daten zu speichern und durch die Welt zu schicken.

Zumindest aber könnte man den User über die Sachverhalte aufklären.

Mir ist klar: Es gibt Freeware, oder Billigprogramme oder solche die sich nur ganz wenig verkaufen - die alle niemals so viel Geld reinbekommen bzw. dann verschenkt werden. Aber vielleicht sollte man dann mal die ewige Rumfunkerei in den Wolken generell hinterfragen.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Jochen am Januar 15, 2013, 12:46:17
Bekomme Meldung, dass ein Zertifikat abgelaufen ist. Betrifft meinen email account bei macbay.
OK.

Nun meine Frage. Müsste macbay nicht dafür sorgen dass:
a) Das Zertifikate verlängert wird ?
b) Wie wird denn eine neues Zertifikate ausgestellt ?
c) Im Schlüsselbund find ich dieses Zertifikat nicht ?
d) Bei Mail finde ich das Zertifikat nicht ?

Fragen sind gewiss etwas amateurhaft ;-)

Jochen
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: MacFlieger am Januar 15, 2013, 13:33:26
Nun meine Frage. Müsste macbay nicht dafür sorgen dass:
a) Das Zertifikate verlängert wird ?

Ja, denn die wollen sich damit ja Dir gegenüber ausweisen. Also müssen die ein neues Zertifikat bestellen und bei sich einbauen. Du musst gar nichts machen.
Ist analog zum einem Personalausweis. Der Besitzer muss einen neuen beantragen, wenn der alte abgelaufen ist. Der Besitzer will sich mit diesem gegenüber z.B. Polizei ausweisen.

Zitat
b) Wie wird denn eine neues Zertifikate ausgestellt ?

Man geht zu einer der Firmen, die die ausstellen, und beantragt ein neues Zertifikat.

Zitat
c) Im Schlüsselbund find ich dieses Zertifikat nicht ?

Brauchst Du ja auch nicht. Die Polizei hat ja auch nicht Deinen Ausweis, sondern schaut sich den nur an. Auf Deinem Rechner sind nur die Zertifikate von den Firmen, die welche ausstellen. So kann der Rechner feststellen, xy hat ein Zertifikat von A bekommen und A vertraue ich, also kann ich auch xy vertrauen.

der Vergleich wäre also:
Zertifikat = Personalausweis
Firmen, die Zertifikate ausstellen = Bundesdruckerei für Personalausweise
Du bzw. Dein Programm prüft Zertifikat = Polizei schaut sich den Personalausweis an
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Jochen am Januar 15, 2013, 13:45:46
@MacFlieger
Danke.
Heute Morgen lief Mail mit entsprechender Meldung ob ich dem account vertraue noch .
Nun geht Mail nicht mehr.

Kann es damit zusammenhängen, dass Zertifikat abgelaufen ist ?

Jochen
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: MacFlieger am Januar 15, 2013, 14:22:25
Wenn Du "Nein" gesagt hast, dann kann es sein, dass es deshalb nicht mehr funktioniert.
Ansonsten: Vielleicht schrauben die gerade daran herum.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Jochen am Januar 15, 2013, 14:50:17
Wenn Du "Nein" gesagt hast, dann kann es sein, dass es deshalb nicht mehr funktioniert.
Ansonsten: Vielleicht schrauben die gerade daran herum.
Habe JA gesagt. Seit kurzem geht es wieder.

Jochen
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Florian am Januar 15, 2013, 19:17:33
Bei mir nicht.

Erst behauptet Mail, der Server sei nicht erreichbar. Bei erneutem Verbinden kommt dann das gültige, aber nach wie vor unpassende Zertifikat (die Geschichte hatten wir ja schon, ich habe nie umgestellt). Trotz meinem Abnicken verbindet sich Mail nicht.

Das Webinterface immerhin ist erreichbar.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: MacFlieger am Januar 16, 2013, 07:15:08
Die schrauben wahrscheinlich gerade.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Florian am Januar 16, 2013, 11:19:04
Es war ganz naheliegend: Neustart von Mail.app. 
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am Juli 28, 2013, 22:52:46
Zertifikate - da weiß man nicht was man hat:
http://www.heise.de/ct/artikel/Microsofts-Hintertuer-1921730.html
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: MacFlieger am Juli 29, 2013, 09:18:28
Tja, eigentlich ist diese Problematik nichts besonderes. Die Stammzertifikate werden bei allen Systemen und Browsern automatisch aktualisiert. Teilweise benutzen Browser die im System hinterlegten, teilweise haben sie eine eigene Verwaltung und aktualisieren dann selber.
Problem ist eben, welchen Stammzertifikaten vertraut man?
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: warlord am Juli 29, 2013, 09:44:00
Ja, und würden die Stammzertifikate nicht aktualisiert, würde das ja quasi ein Verfallsdatum für Computer bedeuten. Wären die ursprünglich mitgelieferten Zertifikate ausgelaufen, könnte das Gerät nicht mehr für SSL-Verbindungen genutzt werden.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Florian am Juli 29, 2013, 23:51:52
Das Problem ist folgendes (aus dem verlinkten Artikel):
Zitat
Es geht hier wohlgemerkt um CAs, die selektiv und quasi unsichtbar auf einzelnen PCs nachinstalliert werden, die bestimmte Zertifikate überprüfen. Das ist etwas ganz anderes als dokumentierte, öffentlich einsehbare Updates der Vertrauensbasis der Krypto-Infrastruktur etwa über den globalen Windows-Update-Mechanismus.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: warlord am Juli 30, 2013, 06:50:38
Schon klar. Aber was macht das wirklich für einen Unterschied? Auch wenn Zertifikate nur im Rahmen von "öffentlich einsehbaren Updates" aktualisiert würden, hindert den Lieferanten doch nichts und niemanden daran, einzelnen Benutzern selektiv doch etwas anderes zu liefern. Man kann es drehen und wenden  wie man will: dem Lieferanten des Root-Zertifikats kann man letztlich immer nur vertrauen. Er hat immer die Möglichkeit, die Sicherheit zu kompromittieren.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: MacFlieger am Juli 30, 2013, 07:32:07
Ich verstehe den Unterschied auch nicht so ganz. Wobei auch andere Browser es genauso machen und selber Stammzertifikate aktualisieren und nachladen.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Florian am Juli 30, 2013, 18:02:30
Mir fiel halt auf, dass Ihr auf diesen Aspekt nicht eingegangen seid, obwohl er der Grund für den Artikel war. Natürlich gibt es schlimmeres, aber das ganze SSL-System basiert auf Vertrauen, und das erreicht man nur mit Transparenz.

Schon klar. Aber was macht das wirklich für einen Unterschied? Auch wenn Zertifikate nur im Rahmen von "öffentlich einsehbaren Updates" aktualisiert würden, hindert den Lieferanten doch nichts und niemanden daran, einzelnen Benutzern selektiv doch etwas anderes zu liefern.

Das wäre aber ein ganz massive Täuschung, die ordentlich schlechte Presse einbringen würde, falls aufgedeckt. Ich denke sogar, dies wäre illegal.

Klar muss man vertrauen und im Endeffekt kann der OS-Hersteller natürlich immer Hintertürchen öffnen.

Ich verstehe den Unterschied auch nicht so ganz. Wobei auch andere Browser es genauso machen und selber Stammzertifikate aktualisieren und nachladen.

Wenn dann machen auch sie es falsch. Ich wüsste auch nicht, dass unter OS X bei Bedarf was nachgeladen wird.
Ich verstehe auch nicht die Logik von einer mitgelieferten Liste und einer zusätzlichen. 


Es ist ja auch nicht so, dass man ständig die Root-Zertifikate erneuern müsste - jedenfalls wäre es sowieso besser, nicht gleich jede neue CA aufzunehmen und die meisten Root-Zertifikate laufen ja eh Jahrzehnte. Das sollte also in die Release Notes von Updates mit aufgenommen werden. Und so ist es dann auch korrekt.


Generell ist natürlich das ganze SSL-System problematisch, nur haben wir nichts besseres.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: MacFlieger am Juli 31, 2013, 07:57:37
Ich verstehe den Unterschied auch nicht so ganz. Wobei auch andere Browser es genauso machen und selber Stammzertifikate aktualisieren und nachladen.

Wenn dann machen auch sie es falsch. Ich wüsste auch nicht, dass unter OS X bei Bedarf was nachgeladen wird.

AFAIK ist es unter Windows so, dass einige Browser (IE, Safari...) die im System und Artikel genannten Methode verwenden. Firefox führt seine eigenen Listen und updatet die ebenfalls selber, parallel zu der Liste des Systems.
Ich vermute, dass es ähnlich unter OS X ist.
Aber: Was ist daran falsch, dass das System die Stammzertifikate aktualisiert? Wie sollen sonst neuere oder aktualisierte Zertifikate auf dem Rechner landen und wie wollen kompromittierte entfernt werden? OK, man könnte fordern, dass so etwas nur manuell geschehen kann, aber seien wir ehrlich: Dann würde so etwas bei den meisten nie passieren.
 
Zitat
Ich verstehe auch nicht die Logik von einer mitgelieferten Liste und einer zusätzlichen.

Was meinst Du?
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Florian am Juli 31, 2013, 19:19:59
AFAIK ist es unter Windows so, dass einige Browser (IE, Safari...) die im System und Artikel genannten Methode verwenden. Firefox führt seine eigenen Listen und updatet die ebenfalls selber, parallel zu der Liste des Systems.
Ich vermute, dass es ähnlich unter OS X ist.

Der erste Punkt steht im Artikel so drin. Ist natürlich an sich sinnvoll, dass die Programme die zentrale Datei nutzen. Hier aber schlecht.

Unter OS X wäre das ja der Schlüsselbund. Auch hier pflegt FF seine eigene Liste.
Würde der Schlüsselbund „System-Roots“ aber dynamisch verändert, wäre doch ein Admin-Passwort fällig? Oder „überreitet“ OS X das einfach mit seinen eigenen Rechten ohne zu informieren?

Zitat
Aber: Was ist daran falsch, dass das System die Stammzertifikate aktualisiert?

Gar nichts!
Der richtige Weg ist aber, dies transparent zu gestalten, nicht hintenrum ohne Information des Anwenders. Ansonsten meldet Windows doch auch jeden Kleinkram.
Es spricht null dagegen, turnusmäßig die Listen per Softwareaktualisierung/Windows-Update zu aktualisieren und dies in die Release Notes zu schreiben. Leider macht das i.d.R. niemand, nur bei den spektakulären Revoke-Fällen. Aber im laufenden Betrieb ins Geschehen einzugreifen, finde ich noch schlimmer.

Zitat
Was meinst Du?

War falsch ausgedrückt, ich meinte zwei (oder noch mehrere) verschiedene Update-Wege. Was soll das?

Insgesamt ist doch die ganze Prämisse merkwürdig. Die Seitenbetreiber orientieren sich doch eh an den schon installierten RCs. Und es kommen auch nicht jeden Tag zwei neue CAs dazu.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: MacFlieger am August 01, 2013, 07:58:22
Ist natürlich an sich sinnvoll, dass die Programme die zentrale Datei nutzen. Hier aber schlecht.

Es wäre besser, wenn jedes Programm (so wie Firefox) seine eigene Liste und Updateroutine mitbringt?

Zitat
Würde der Schlüsselbund „System-Roots“ aber dynamisch verändert, wäre doch ein Admin-Passwort fällig? Oder „überreitet“ OS X das einfach mit seinen eigenen Rechten ohne zu informieren?

Wie es unter OS X läuft, weiß ich nicht. Es könnte(!) sein, dass hier neue Einträge nur mit Sicherheitsaktualisierungen ausgeliefert werden. Ist aber eine reine Vermutung ohne Hintergrundwissen.
Die XProtect-Liste wird übrigens unter OS X auch völlig ohne Rückmeldung systemweit unter OS X aktualisiert.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Florian am August 02, 2013, 14:12:19
Es wäre besser, wenn jedes Programm (so wie Firefox) seine eigene Liste und Updateroutine mitbringt?

Natürlich nicht, nur in diesem Fall hat es eben mal einen Vorteil.

Zitat
Die XProtect-Liste wird übrigens unter OS X auch völlig ohne Rückmeldung systemweit unter OS X aktualisiert.

Der Vergleich passt aber nicht.
Erstens reagiert Apple nur bei Gefahr in Verzug, was man bei Zertifikaten nicht sagen kann. Zweitens geschieht es zwar ohne Meldung, man gibt aber offensichtlich eine Presse-Meldung raus, zumindest kann man es überall lesen. Drittens kann man das auch deaktivieren.

Zitat
Wie es unter OS X läuft, weiß ich nicht. Es könnte(!) sein, dass hier neue Einträge nur mit Sicherheitsaktualisierungen ausgeliefert werden. Ist aber eine reine Vermutung ohne Hintergrundwissen.

Ich verstehen diesen Absatz nicht:

Zitat
When a user visits a secure Web site (that is, by using HTTPS), reads a secure e-mail (that is, S/MIME), or does some other operation using PKI, the Mac OS X certificate chain verification software checks the X509Anchors file. To the user, the experience is seamless. The user does not see any security dialog boxes or warnings. The download happens automatically, behind the scenes.
http://www.apple.com/certificateauthority/ca_program.html

Einerseits ist vom lokalen File die Rede, andererseits von einem Download.

Weiter unten steht dann:
Zitat
After Apple accepts your root certificate, it will appear in a Software Update after the next root certificate refresh cycle.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Florian am Februar 24, 2015, 16:03:24
Nach dem Open-SSL-Desaster nun die Skandale um Lenovo bzw. Superfish und jetzt auch noch einem angeblichen Schutzprogramm, dass Sicherheit aushebelt. Irgendwie hat man den Eindruck, SSL soll wundgeschossen werden. Noch wunder als es natürlich eh schon ist. Zumindest ist es vielen Werbefritzen u.a. total egal, was sie anrichten.

http://www.heise.de/newsticker/meldung/Gefaehrliche-Adware-Mehr-als-ein-Dutzend-Anwendungen-verbreiten-Superfish-Zertifikat-2557619.html
http://www.heise.de/newsticker/meldung/PrivDog-torpediert-die-Web-Sicherheit-im-Namen-der-Privatsphaere-2557756.html
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am August 11, 2015, 09:44:47
http://www.heise.de/security/meldung/Beliebige-SSL-Zertifikate-durch-Missbrauch-der-Uralt-Internettechnik-BGP-2774454.html
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Florian am August 12, 2015, 14:15:16
Und wieder wäre es kein Problem, diese Angriffe zu verhindern. Aber Desinteresse und Faulheit und vielleicht auch die NSA torpedieren das System, für das es keinen Ersatz gibt.
Erfahrungsgemäß wird es viele Jahre dauernd, bis mal alle Server geschützt sind, wenn es denn überhaupt mal passiert.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am Oktober 15, 2015, 22:02:23
http://www.heise.de/security/meldung/SSL-Zertifizierungsstellen-stellen-hunderte-Zertifikate-fuer-Phishing-Seiten-aus-2848793.html
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am November 23, 2015, 20:39:42
Mittlerweile meine ich, Zertifikate als Sicherheitskonzept bringens nicht. Ich und vermutlich viele Anwender verstehen sie nicht. Und dann auch noch so was:
http://www.heise.de/security/meldung/Dell-Rechner-mit-Hintertuer-zur-Verschluesselung-von-Windows-Systemen-3015015.html
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Florian am November 23, 2015, 23:06:55
Verstehst Du es nicht oder meinst Du, dass es nicht funktioniert?
Kann es gerne mal von Grund auf erklären.

Das es die meisten User nicht verstehen, ist wohl so, eigentlich müssen sie das aber auch nicht. Das ist ja das schöne daran, wobei es an sich einfach ist. Nur jetzt sieht man eben, dass immer mehr Bösewichte und Schlamper und offensichtlich auch Saboteure das System in den Abgrund führen. Habe ja schon mal geschrieben, dass es ein Gerüchle hat. Auch bei diesem von Dir verlinkten Dell-Fiasko kann das ja nur noch böse Absicht sein.

Eine Alternative tut sich aber auch nicht auf, höchstens eine Demokratisierung, etwa durch https://letsencrypt.org
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am November 23, 2015, 23:27:16
Konkret verstehe ich gar nix (http://www.apfelinsel.de/forum/index.php/topic,4632.msg78539.html#msg78539): ich kann Zertifikate nicht zu- und einordnen, oder - was vermutlich wichtig wäre - auf Echtheit überprüfen. Gut bin ich nur im wegklicken (http://www.apfelinsel.de/forum/index.php/topic,4632.msg95027.html#msg95027) von abgelaufenen Zertifikaten (von Webseiten.)

Außerdem irgendwelche Meldungen im Systemdesign (http://www.apfelinsel.de/forum/index.php/topic,6964.msg99396.html#msg99396) einblenden kann wohl jeder.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: MacFlieger am November 24, 2015, 07:21:20
Außerdem irgendwelche Meldungen im Systemdesign (http://www.apfelinsel.de/forum/index.php/topic,6964.msg99396.html#msg99396) einblenden kann wohl jeder.

Zum Glück nicht ganz. Eine Website kann per JavaScript ein Fenster mit beliebigem Inhalt oder eine Dialogbox öffnen. Zum Glück kann man das doch noch von echten Meldungen unterscheiden.
In dem verlinkten Beispiel:
Der erste Screenshot ist eine Dialogbox. Hier kann der "Böse" nur einen Text vorgeben. Das Icon links (von Safari) und der Text oben drüber "Von xy:" wird vom System hinzugefügt, damit man sehen kann, dass das von safari stammt und von welcher Website die Meldung stammt.
Der zweite Screenshot ist dann der Inhalt eines normalen Safarifensters. Was dort zu sehen ist, kann natürlich wie bei jeder Website beliebig aussehen. Dafür kann man dann aber sehen, dass es ein normales Safari-Fenster ist.
Also echte systemmeldungen können so nicht geöffnet werden, aber die versuchen natürlich dies durch das Aussehen nachzuahmen. Ähnlich wie bei Phishingmails.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Florian am November 24, 2015, 21:48:50
Das mit dem Apple-Zertifikat hat warlord doch damals beantwortet. Das ist aber auch ein echter Sonderfall.

Die „Meldung im Systemdesign“ hat mit Zertifikaten auch nichts zu tun.

Zertifikate haben zwei Funktionen:
Identitätscheck und Verschlüsselung.

Zertifikate einordnen und bewerten kann man natürlich nur, wenn man sie liest. :) Das macht meiner Schätzung nach niemand wirklich. Daher haben die Browser-Hersteller nachgerüstet.
Generell muss das Zertifikat natürlich zur Domain passen und gültig sein - der Browser übernimmt diesen Check. Mittlerweile haben viele Browser auch Funktionen, etwa färben sie die Adresszeile grün, wenn das Zertifikat wirklich 100% sicher ist.
Wenn Du mehr wissen willst, musst Du auf das Schloss klicken und brauchst in Safari insgesamt „nur“ drei Klicks. Dann erfährst Du, wer der Aussteller des Zertifikats ist, seit und wie lange es gültig ist, welche Verschlüsselung zum Einsatz kommt und v.a. auch, wie der Serverbetreiber denn eigentlich vor Ausstellen des Zertifikats überprüft wurde.
Im Titel des Zertifikats steht dazu i.d.R. G2/G3/G4. G2 bedeutet, dass eigentlich nur sichergestellt wurde, dass der Server zu einer anderen Email passt. Ein echter Identitätscheck findet also nicht statt. Ein Beispiel für G2 ist wikipedia, wo das sicherheitstechnisch auch in Ordnung geht. Dort steht, komischerweise, als Organisationsname sogar „domain validated“.

Banken usw. müssen sich schon in der echten Welt ausweisen und haben G3 oder G4 oder im Namen man liest PKI. Dann färbt Safari die URL auch grün. Beispiel der eBay-Login. Manchmal funktioniert das auch nicht - weiß nicht genau, warum. Wahrscheinlich lassen sich die Zertifikationsstellen das extra bezahlen.
Ein anderer Unterscheidungspunkt ist das Wörtchen „kritisch“ für bestimmte Anwendungszwecke. Oft steht auch da, wie verifiziert wurde und es sind auch immer Links, wo man mehr lesen kann, was natürlich sehr aufwendig ist, weil kaum jemand das aufbereitet, sondern auf ein Dokumentenarchiv verweist.

So läuft das also im Internet:
- Serverbetreiber braucht Zertifikat
- Anerkannte Zertifikationsstelle verkauft es ihm
- Er installiert es auf dem Server
- Des Users Browser checkt, ob das Z. zur Seite passt, ob es noch gültig ist, welche Güte es hat und wer es ausgestellt hat. Für letzten Punkt schaut er in die Liste der auf dem OS X vorinstallierten Liste
- Stimmt was nicht, kommt eine Warnmeldung, manche färben die URL auch noch rot und was weiß ich
- Stimmt alles, generiert der Browser einen Schlüssel und mit dem öffentlichen Schlüssel des Server-Zertifikats zusammen entsteht ein Session-gebundene Verschlüsselung
- Stimmt alles und liegt ein echter Identitätscheck vor, wird die URL oder Adresszeile grün

Nun kann an Zertifikate auch anders verwenden. Z.B. um eine App mit dem eigenen Server zu verbinden. Und siehe da, dort sind meistens selbst erzeugte Zertifikate im Einsatz, die nicht gegengecheckt wurden, aber immerhin erlauben sie eine Verschlüsselung der Verbindung.
Leider gibt es aber keine Warnung für die User, dass hier theoretisch irgendwer irgendwelche Identitäten angenommen haben könnte. Theoretisch aber könnte sich jetzt jemand unerkannt dazwischen klemmen, denn man sieht ja nicht, was da abgeht und geprüft wird es vom System m.W. auch nicht.

Das System hat auch generell Angriffspunkte, insbesondere steht und fällt es mit der Seriosität und Sicherheit der Zertifikationsinstitute. Skandale gab es ja schon.

Was Dell gemacht hat, sieht für mich nach böser Absicht aus. Mittlerweile haben sie immerhin reagiert und wollen ein Update bereitstellen. Hier handelt es sich um ein Root-Zertifikat, welches auch noch andere Zertifikate beglaubigen konnte und dessen privater Schlüssel allgemein bekannt ist. So kann sich ein Angreifer sein selbst ausgestelltes Zertifikat beglaubigen lassen. Leitet er nun den den https-Verkehr über seinen Proxy, wird keine Warnung gegeben. Der Browser verbindet sich also mit dem Proxy und schickt seine Daten an den Angreifer/man in the middle.
Was mir wegen akutem Windows-Unwissen nicht klar ist: Ob er Kontrolle über den Dell haben muss oder ob das im selben Netz schon geht.

Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am November 24, 2015, 22:43:23
Tausend Dank für die Mühe!

Die „Meldung im Systemdesign“ hat mit Zertifikaten auch nichts zu tun.

Ich finde schon. Ich würde mir nicht zutrauen die Echtheit eines Zertifiktat Fensters zu erkennen.

Zitat
G4 … PKI

 ???

Zitat
färbt Safari die URL auch grün. ... Manchmal funktioniert das auch nicht - weiß nicht genau, warum.

Besser kann man meine Meinung zu Zertifikaten nicht zusammenfassen. 8)


Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: MacFlieger am November 25, 2015, 07:17:20
Ich würde mir nicht zutrauen die Echtheit eines Zertifiktat Fensters zu erkennen.

Warum nicht? Ein Zertifikatsfenster ist doch anders als ein Browserfenster oder eine Textdialogbox.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am November 25, 2015, 07:59:30
Zertifikat nur echt im richtigen Design. Und wer sagt mir, ob das Design, ähnlich wie die Meldungstexte, nicht auch manipuliert werden kann? Die Trennlinie ist mir irgendwie zu vage.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: MacFlieger am November 25, 2015, 08:30:57
Zertifikat nur echt im richtigen Design.

Nein, das Design ist ja völlig frei gestaltbar (oder wir reden aneinander vorbei). Es werden entweder nur Textboxen mit deutlichem Hinweis auf die Herkunft angezeigt oder ein Browserfenster mit einer Website. Der Inhalt des Browserfensters ist wie bei Websites üblich frei gestaltbar und damit kann man damit auch jedes beliebige Design nachmachen. Zur Not auch einfach einen Screenshot darstellen. Aber es ist und bleibt ein Browserfenster, welches sich ....
ARGH! Kommando zurück. Ich habe es gerade mal in Safari ausprobiert. Ich hatte mich durch das Beispiel von fränk, was Du verlinkt hattest, täuschen lassen. Ein Browserfenster (mit beliebigem gefaktem Inhalt) kann man schon von einem anderen Fenster unterscheiden, da ja nur der Inhalt nachgemacht werden kann.
Aber das Zertifikatsfenster in Safari ist ja gar kein eigenes Fenster, sondern nur etwas, was über den normalen Browserinhalt gelegt wird. Das könnte man tatsächlich mit etwas Aufwand in HTML/CSS/JavaScript nachbasteln. Das könnte man dann tatsächlich nicht unterscheiden.

Einzige echte Unterscheidungsmöglichkeit scheint mir aktuell zu sein: Das echte Zertifikatsfenster wird durch Klick auf das Zertifikatszeichen in der Adresszeile geöffnet und nicht auf anderem Weg. Ob man den Klick auf dieses Zeichen in der Adressleiste nicht auch irgendwie per JavaScript abfangen könnte, um etwas eigenes einzublenden, weiß ich nicht. Aktuell ist mir da keine Möglichkeit bekannt.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Florian am November 25, 2015, 18:35:37
Ich finde schon. Ich würde mir nicht zutrauen die Echtheit eines Zertifiktat Fensters zu erkennen.

Im jeweiligen Browser sind die ja „fest verankert“. Die kann man nicht einfach per Javascript einblenden. Was anderes ist freilich, wenn man der Rechner schon total übernommen wurde und in den laufenden Code des Browsers eingegriffen werden kann. Dann ist es aber eh zu spät…

Zitat
Zitat
G4 … PKI

 ???

G2 steht, wie gesagt, für eine simple Email- und Domain-Identitätsprüfung, ähnlich wie wir es hier bei Neu-Anmeldung im Forum machen. Sprich, gehört die Domain wirklich dem Besteller des Zertifikats?
Dazu kommt dann, meistens, ja auch noch eine Zahlung mit Daten.
Identitätsdiebstahl schließt dies nicht wirklich aus.

Bei G3 und höher werden auf unterschiedliche Weise tatsächlich die Identitäten geprüft.


Wie sich das PKI herein verirrt hat, weiß ich nicht, soll jedenfalls einen hohen Standard signalisieren. Eigentlich heißt PKI Public Key Infrastructure und beschreibt das Grundprinzip des Ganzen.

Zitat
Zitat
färbt Safari die URL auch grün. ... Manchmal funktioniert das auch nicht - weiß nicht genau, warum.

Besser kann man meine Meinung zu Zertifikaten nicht zusammenfassen. 8)

Ich hatte aber eine Vermutung angeführt, und diese nun überprüft. :)
Es ist, wie ich schrieb: Die Zertifikatsausgeber lassen sich das extra bezahlen, dafür soll die Identitätsprüfung noch genauer sein. Im Branchensprech: Extended Validation (EV). Auch hier wird es aber leider nicht immer allzu ernst genommen mit der Prüfung - der Preisdruck führt zu Kompromissen.
https://de.wikipedia.org/wiki/Extended-Validation-Zertifikat

Super Seite um Zertifikate von Mail- und Webservern zu checken - aber nicht verunsichern lassen, perfekt und auf dem neuesten Stand der Technik ist kaum eins:
https://ssl-tools.net/
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: MacFlieger am November 26, 2015, 07:16:08
Ich finde schon. Ich würde mir nicht zutrauen die Echtheit eines Zertifiktat Fensters zu erkennen.

Im jeweiligen Browser sind die ja „fest verankert“. Die kann man nicht einfach per Javascript einblenden. Was anderes ist freilich, wenn man der Rechner schon total übernommen wurde und in den laufenden Code des Browsers eingegriffen werden kann. Dann ist es aber eh zu spät…

Wieso sollte man das nicht nachbilden können? Die Zertifkatsanzeige in Safari ist kein extra Fenster, wie ich erst dachte, sondern einfach nur ein Overlay über die angezeigte Seite, d.h. komplett innerhalb des Anzeigebereiches der Seite. Da kann ich doch beliebige Sachen per HTML/CSS anzeigen lassen. JavaScript brauche ich da nur, damit das nicht nur statisch so aussieht, wie das originale, sondern auch auf Mausklicks reagiert/sich verändert, langsam ein-/aus fährt etc. Ich sehe da jetzt echt kein Problem eine Website zu bauen, die über sich so eine Anzeige einblendet.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: mbs am November 26, 2015, 08:41:23
Das kann man nicht wirklich nachbilden. Die Zertifikatsanzeige in Safari ist ein "gleitendes Dialogfenster" (Sheet), das fest am Browser-Fenster hängt und mit der Anzeige des Seiteninhalts nichts zu tun hat.

Natürlich kann man auf einer Seite allen möglichen Unfug machen, um Leichtgläubige zu allerlei Aktionen zu veranlassen. Dann sind wir aber beim üblichen "Trojaner-Problem", für das es keine technische Lösung gibt. Nur Schulung hilft.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: MacFlieger am November 26, 2015, 09:04:06
Das kann man nicht wirklich nachbilden. Die Zertifikatsanzeige in Safari ist ein "gleitendes Dialogfenster" (Sheet), das fest am Browser-Fenster hängt und mit der Anzeige des Seiteninhalts nichts zu tun hat.

Das ist schon klar. Ein echtes Sheet kann ich nicht erzeugen. Aber wo ist der optische(!) Unterschied zwischen einem echten Sheet über einer Website und einer Website, bei der eine Ebene am oberen Rand über dem normalen Inhalt eingeblendet wird? Ich kann da jetzt kein direktes Problem erkennen. Beide Sachen sind innerhalb des Anzeigebereiches und überlagern den normalen Inhalt.

Nur mal hypothetisch: Ich mache einen Screenshot von dem Sheet und setze den per CSS oben mittig auf eine Website. Bis auf das Hereingelassen und die Funktionalität beim Klicken, sieht es doch erst einmal dann identisch aus, oder?
Klar, reicht ein Screenshot (=Grafik) nicht aus. Ich müsste schon den Inhalt tatsächlich auch als Text und interaktiv und animiert nachbilden. Aber das ist doch nur Fleißarbeit.

Wo ist mein Denkfehler? Wie kann man ein Sheet von HTML-Ausgabe unterscheiden?
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: mbs am November 26, 2015, 09:47:47
Das wird jetzt etwas esoterisch, aber ein echtes Sheet kann zum Beispiel über die Seite herausragen und lässt sich vom Benutzer beliebig vergrößern.

Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: MacFlieger am November 26, 2015, 11:06:47
OK, das kann man tatsächlich nicht nachbilden.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Florian am November 26, 2015, 14:32:13
Zudem wird der Dialog ja erst eingeblendet, wenn man das Schloss in der Adresszeile klickt. Das kann eine Webseite ja nicht erfassen.

Edit: Sorry, Macflieger schreibt das ja auch schon mehr oder weniger.

Jedenfalls wäre es schon sehr merkwürdig, würde da plötzlich ein Zertifikat auf einer Seite erscheinen, ohne angefordert zu werden.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am August 29, 2016, 22:21:28
Wieso überprüft eine Werbeanzeige die Identität meines Browsers? Wieso hält sie meinen Browser für einen Server?? Was ist mein Sicherheitsgewinn aus dieser Abfrage ???
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: MacFlieger am August 30, 2016, 07:39:15
Merkwürdige Meldung. Ich verstehe da nicht, wer was prüft und für schlecht erachtet. Völlig konfus.
Was erscheint denn bei Details? Das bringt evtl. Licht ins Dunkel, was überhaupt gemeint ist.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am August 30, 2016, 12:38:32
Details:
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: MacFlieger am August 30, 2016, 12:51:28
Hmm, in diesen Details steht wieder ein anderer Servername drin, der nicht vertrauenswürdig ist. Unter "Weitere Details" müssten die genaueren Gründe stehen.

Das ist doch alles ziemlich konfus.
Zudem: Wenn ich "https://www.radioforen.de" aufrufe, dann bekomme ich eine Warnung, dass ein selbst ausgestelltes Zertifikat für webserver.ispgateway.de nicht vertrauenswürdig ist, weil es ein selbst signiertes Root-Zertifikat verwendet.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am August 30, 2016, 16:40:08
Ich klick so unverständliche Meldung immer mehr mir Begeisterung, sprich schnell, weg. Diese Erziehungleistung, auf schnelles Wegklicken, vollbringen Computer sehr gut. Meine Frage ist, sollte ich mich für derartige Meldungen, z. B. dieser, mehr interessieren?

Nach Klick auf Abbrechen ließ sich die Seite übrigens ohne erkennbare Einschränkung nutzen.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am November 05, 2017, 12:50:22
https://www.heise.de/ct/ausgabe/2017-23-Warum-sich-Zertifikate-nicht-wirklich-sperren-lassen-3867668.html. (1,49 €)
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: MacFlieger am Januar 27, 2018, 08:28:47
Ich habe die Postings zum beA abgetrennt und nach "Talk" verschoben, da das Ganze doch ein eigenes Thema ist und Zertifikate dort nur ein Teilthema sind.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am Februar 08, 2018, 14:44:05
https://m.heise.de/security/meldung/Chrome-entzieht-in-Zukunft-10-Prozent-der-wichtigsten-SSL-Seiten-das-Vertrauen-3962976.html
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: MacFlieger am Februar 08, 2018, 15:27:40
Das finde ich gut.
Symantec hat wohl mehrfach gegen die Regeln verstoßen und daher können Zertifikate von denen nicht vertrauenswürdig sein.
Für die Seitenbetreiber ist es ganz simpel: Einfach ein Zertifikat bei einem vertrauenswürdigen Aussteller besorgen.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Haos am Februar 23, 2018, 11:22:18
Hallo Leute :)
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am Juli 06, 2018, 23:39:04
https://www.heise.de/security/meldung/Schaedlinge-unterminieren-Windows-Zertifikats-System-4100993.html
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am September 10, 2018, 21:57:46
https://www.sueddeutsche.de/digital/sicherheit-von-webseiten-httpsist-unsicherde-1.4123511
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: MacFlieger am September 11, 2018, 08:14:08
Der Artikel bei der Süddeutschen finde ich nicht besonders erhellend. Die Beschreibung des HTTPS mit öffentlichem/privatem Schlüssel hat zwar etwas mit dem Thema zu tun, betrifft aber nicht den Kern des Problems.

Hier finde ich es besser beschrieben:
Zertifikate für beliebige Domain: Forscher demonstrieren kritisches DNS-Problem (https://www.heise.de/security/meldung/Zertifikate-fuer-beliebige-Domain-Forscher-demonstrieren-kritisches-DNS-Problem-4156868.html)

Im Kern geht es darum, dass sich jemand ein falsches Zertifikat erschleichen kann und bei https somit vortäuschen kann, eine andere Webseite zu sein.
Konkret gibt es mehrere Wege ein Zertifikat zu erhalten.
Die meiste Form, bei dem dieses Problem auftauchen kann, ist das domainvalidierte. Hier muss ich gegenüber der Stelle, die das Zertifikat ausstellt, nur nachweisen, dass ich die Domain kontrolliere, z.B. eine Datei mit bestimmten Inhalt auf die Website legen.
Bei der weniger benutzte Form, die auch teurer ist, muss zusätzlich noch anders nachweisen, dass man derjenige ist, der man zu sein vorgibt, z.B. Dokumente vorlegen.

Von dem Problem ist der erst Fall betroffen. Wenn es jemand schafft, den DNS-Eintrag bei der ausstellenden Stelle so zu verändern, dass er nicht zum Originalserver führt, sondern zu seinem eigenen Server, dann kann er natürlich die Aufgabe erfüllen und bekommt das Zertifikat.

Der Fehler liegt also an der Stelle, dass der DNS-Server der prüfenden Stelle mit falschen Informationen versorgt wird. Jetzt ist nun aufgefallen, dass einige (nicht alle) zertifizierenden Stellen einen DNS-Server einsetzen, der entsprechend angegriffen werden kann.

Kurzfristige Lösung: Die bekannten Probleme der DNS-Server müssen behoben werden.
Langfristige Lösung: Da immer wieder Fehler im DNS-Server neu gefunden werden könnten, müsste das Verfahren geändert werden. Zudem ist das DNS-System sowieso anfällig auch für andere Angriffe/Probleme. Es gibt mehrere Vorschläge und bereits existierende Lösungen (u.a. DNSSEC). Die werden aber noch nicht flächendeckend eingesetzt und unterstützt.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am März 15, 2019, 13:22:33
https://www.heise.de/security/meldung/Von-Spezifikationen-und-Geheimdiensten-Hinter-den-Kulissen-eines-Zertifikats-Skandals-4337433.html
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am Januar 29, 2020, 23:20:17
Vorhin als ich https://support.apple.com/de-de/HT201251 anklickte:

Zitat
Warnung: Mögliches Sicherheitsrisiko erkannt

Firefox hat ein mögliches Sicherheitsrisiko erkannt und support.apple.com nicht geladen. Falls Sie die Website besuchen, könnten Angreifer versuchen, Passwörter, E-Mails oder Kreditkartendaten zu stehlen.

Was können Sie dagegen tun?

Am wahrscheinlichsten wird das Problem durch die Website verursacht und Sie können nichts dagegen tun.

Falls Sie sich in einem Firmennetzwerk befinden oder Antivirus-Software einsetzen, so können Sie jeweils deren IT-Support kontaktieren. Das Benachrichtigen des Website-Administrators über das Problem ist eine weitere Möglichkeit.

Weitere Informationen…

Eventuell täuscht jemand die Website vor und es sollte nicht fortgefahren werden.
 
Websites bestätigen ihre Identität mittels Zertifikaten. Firefox vertraut support.apple.com nicht, weil der Aussteller des Zertifikats unbekannt ist, das Zertifikat vom Austeller selbst signiert wurde oder der Server nicht die korrekten Zwischen-Zertifikate sendet.
 
Fehlercode: SEC_ERROR_UNKNOWN_ISSUER
 
Zertifikat anzeigen
https://support.apple.com/de-de/HT201251



Der Zertifikat-Aussteller der Gegenstelle wurde nicht erkannt.



HTTP Strict Transport Security: false

HTTP Public Key Pinning: false



Zertifikatskette:



-----BEGIN CERTIFICATE-----

MIIIhjCCB26gAwIBAgIQCCr6IBoc8Hn9bZfaAFPqqzANBgkqhkiG9w0BAQsFADB5

MQswCQYDVQQGEwJVUzEXMBUGA1UEChMORGlnaUNlcnQsIEluYy4xGTAXBgNVBAsT

EHd3dy5kaWdpY2VydC5jb20xNjA0BgNVBAMTLURpZ2lDZXJ0IFNIQTIgRXh0ZW5k

ZWQgVmFsaWRhdGlvbiBTZXJ2ZXIgQ0EtMzAeFw0yMDAxMjkwMDAwMDBaFw0yMTAx

MjgxMjAwMDBaMIHLMR0wGwYDVQQPDBRQcml2YXRlIE9yZ2FuaXphdGlvbjETMBEG

CysGAQQBgjc8AgEDEwJVUzEbMBkGCysGAQQBgjc8AgECEwpDYWxpZm9ybmlhMREw

DwYDVQQFEwhDMDgwNjU5MjELMAkGA1UEBhMCVVMxEzARBgNVBAgTCkNhbGlmb3Ju

aWExEjAQBgNVBAcTCUN1cGVydGlubzETMBEGA1UEChMKQXBwbGUgSW5jLjEaMBgG

A1UEAxMRc3VwcG9ydC5hcHBsZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw

ggEKAoIBAQC0u0kU5BrwTsKA/e4EyOj95yZNBWO/JfpJ1XkAFizvQeU5T3ex7AGs

b+fokeKmchtdjyZZHKp4OqZzvOUoz9Z3/PVR+aob5aUJttCKbkWeL4UIsguAwi1D

sZaPKvnAzE1ETZxAHLYA7XFZJzK8+t/+XCqLXDN2AmrnMVifBgsC+tGdwcAmMD0a

JEMpsRGtb/g5roN0fb3ZWd36I4Tm1DDvgxbbK2hFae8KTjr+f77eXGYv+UA81R40

vMSyisQHtlteGsSskDnNlvWecTAtDam0XUMIEISI67le1YUDDlUUXy9B7pkLJz9o

VpJOwc5GsmN5F6EhDRlpdBfncc8pjbtDAgMBAAGjggS1MIIEsTAfBgNVHSMEGDAW

gBTPhfG8OBh4OlUz9FbKwGmtd267kzAdBgNVHQ4EFgQUFlnYgBhlQItLjil4cVRb

vHXGt4swgbkGA1UdEQSBsTCBroIRc3VwcG9ydC5hcHBsZS5jb22CDnRpcHMuYXBw

bGUuY29tghhzdXBwb3J0LXZlbmRvci5hcHBsZS5jb22CFGttLnN1cHBvcnQuYXBw

bGUuY29tghVyc3Muc3VwcG9ydC5hcHBsZS5jb22CE2Fjd2ViLW53ay5hcHBsZS5j

b22CFm1hbnVhbHMuaW5mby5hcHBsZS5jb22CFXd3dy5zdXBwb3J0LmFwcGxlLmNv

bTAOBgNVHQ8BAf8EBAMCBaAwHQYDVR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMC

MIGlBgNVHR8EgZ0wgZowS6BJoEeGRWh0dHA6Ly9jcmwzLmRpZ2ljZXJ0LmNvbS9E

aWdpQ2VydFNIQTJFeHRlbmRlZFZhbGlkYXRpb25TZXJ2ZXJDQS0zLmNybDBLoEmg

R4ZFaHR0cDovL2NybDQuZGlnaWNlcnQuY29tL0RpZ2lDZXJ0U0hBMkV4dGVuZGVk

VmFsaWRhdGlvblNlcnZlckNBLTMuY3JsMEsGA1UdIAREMEIwNwYJYIZIAYb9bAIB

MCowKAYIKwYBBQUHAgEWHGh0dHBzOi8vd3d3LmRpZ2ljZXJ0LmNvbS9DUFMwBwYF

Z4EMAQEwgYoGCCsGAQUFBwEBBH4wfDAkBggrBgEFBQcwAYYYaHR0cDovL29jc3Au

ZGlnaWNlcnQuY29tMFQGCCsGAQUFBzAChkhodHRwOi8vY2FjZXJ0cy5kaWdpY2Vy

dC5jb20vRGlnaUNlcnRTSEEyRXh0ZW5kZWRWYWxpZGF0aW9uU2VydmVyQ0EtMy5j

cnQwCQYDVR0TBAIwADCCAfUGCisGAQQB1nkCBAIEggHlBIIB4QHfAHUAfT7y+I//

iFVoJMLAyp5SiXkrxQ54CX8uapdomX4i8NcAAAFv8WVsvwAABAMARjBEAiB58irT

mv+gv/nnkHR1EqADxMWi2FnCKuwxQbEd3IXSugIgKA009x2lli0B2Y/WTRjMvyZt

q+XRTOKsvZhbB/GaSa4AdgBc3EOS/uarRUSxXprUVuYQN/vV+kfcoXOUsl7m9scO

ygAAAW/xZWyXAAAEAwBHMEUCIQCQUTL8s/zqLY8F0Ex9ok2dZgmeNHHRNWmQzpwc

ZcaFYQIgO9hV3z1rGnxXwkgLkMyWY7M3ehN09Xb8w12pzLzQkjsAdgBWFAaaL9fC

7NP14b1Esj7HRna5vJkRXMDvlJhV1onQ3QAAAW/xZW5zAAAEAwBHMEUCID6H4XXW

BxsxkFtZEnHT06f/hmMXoi+fmRdbfv08KM6XAiEA3YeR/2Sw2A4Z/9FwmTuph/Kr

XnMcJIZl6Cy15cH42aQAdgCkuQmQtBhYFIe7E6LMZ3AKPDWYBPkb37jjd80OyA3c

EAAAAW/xZW8kAAAEAwBHMEUCIECRDrL+mTzD73cAfuSWxAKFUCykejANa109Oi2Z

DQqaAiEA/uQPBT+dPWA7rG6xuYzyIBCSodE4kMw76PHQe/TDWUYwDQYJKoZIhvcN

AQELBQADggEBAETZUtC7lp4bUbxZohzicpDdS8GI7zokd4L97QDCQ3yHnCLhDPLu

K1K8z3xURx5AXd0z77rc6KFRyQF8uroG1iiR710axk1q59dcPbfxtfqVW3cONmKd

xLl5KvYyG5A4Qa0sJOm8KXIz97563ZuD8JYD1z7o30ZpIzeqJhRrisnc1/do+ZTD

qMfPpZtRViFFmh1/8ECUBtN+WCs9HQVgV2LXr5+y4qnEn/bV3yo0YCw0bQ5XxmxN

YqAaAxGw4vYKwKjduOiHN+qq5V8ZUJq10yxuihDs8s7qswcxh7s40nc0xuKSP3Sz

mOGPYhLM88/4rSpo2lgghsqGwVyU5r1DqkI=

-----END CERTIFICATE-----



Das ist ungefähr die 20. falsche Warnung durch Zertifikate, die ich in meinem Leben bekommen habe. Ein richtige Warnung war noch nie dabei. Das System ist so schlicht unbrauchbar. Ach ja, wie immer habe ich todesmutig die Seite geöffnet.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Florian am Januar 30, 2020, 00:31:21
Das Problem scheint hier mehr Firefox zu sein, wenn das nur so angezeigt wird.
War gestern auch dort mit Safari, da ging es ohne Probleme.
Mir fällt auf, dass das aktuelle Zertifikat am 29.1.2020 um genau 1 Uhr nachts eingespielt wurde. Vielleicht gab es vorher tatsächlich zeitweise Probleme.

Die Warnungen von Firefox wollen eigentlich nur verdeutlichen, dass keine Verschlüsselung erfolgen kann. Desweiteren könnte ein fehlerhaftes Zertifikat auch Identitäten vortäuschen, wobei das mittlerweile keiner mehr nötig hat.
Falls Du eine solch bekannte URL aufrufst und nicht in einem fremden Netzwerk unterwegs bist, besteht keine Gefahr. Zudem gibt man dort ja keine wichtigen Daten ein. Ignorieren war also richtig, wobei ich mich auch gewundert hätte.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am Juni 04, 2020, 12:30:12
Gut vernetzt?
https://www.golem.de/news/vorwerk-cloudprobleme-lassen-staubsaugerroboter-streiken-2006-148890.html
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Florian am Juni 04, 2020, 14:07:54
Wozu braucht ein Rüsselkobold eine Wolkenanbindung?

Habe zwar gelesen, was sie damit machen (Grundrisse auch bei Defekt usw. verfügbar halten), aber das sind doch alles Funktionen, die nur einen minimalen Komfortgewinn bedeuten, dafür aber eine Abhängigkeit schaffen und einer Firma Informationen zukommen lassen, die sie nichts angehen.

Da wird einem der olle Thermomix mit den Speicherkarten richtiggehend sympathisch. ;)
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am Oktober 26, 2020, 21:18:33
https://www.heise.de/news/macOS-HP-Apps-verlieren-Sicherheitszertifikat-4938094.html
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Florian am Oktober 27, 2020, 12:25:58
HP hat das Zertifikat selbst zurückgezogen.
Über die Formulierung von Apple kann man streiten, dass macOS eindringlich warnt, aber nicht.
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am November 09, 2020, 23:02:52
https://www.spiegel.de/netzwelt/web/aeltere-android-handys-werden-ab-2021-von-vielen-websites-ausgesperrt-a-0d0e3fe6-68a2-43f1-bf02-76672ba989c4
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: Florian am November 09, 2020, 23:34:54
Wer mit Android 7 im Internet surft, sollte eh mal umdenken!
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am Juni 04, 2021, 16:31:49
Wie sich PDF-Zertifikate aushebeln lassen und wie Sie sich schützen können:
https://www.heise.de/select/ct/2021/13/2113210225251122429
Titel: Re: Frage bezüglich Zertifikate ...
Beitrag von: radneuerfinder am November 12, 2022, 19:22:13
https://www.golem.de/news/chrome-safari-firefox-die-mysterioese-firma-die-in-unseren-browsern-steckt-2211-169708.html