Änderungen

Zur Navigation springen Zur Suche springen
== Root-Zertifikate / Zertifizierungsstellen ==
Dies bedeutet, dass dein Browser (oder Mail-, Jabberprogramm usw.) ja irgendwie die Root-Zertifikate haben muss, damit er es die [http://de.wikipedia.org/wiki/Authentizit%C3%A4t Authentizität] des jeweiligen Server-Zertifikats überprüfen kann. Dabei kommen uns die Browserhersteller zu Hilfe und haben bereits einige Root-Zertifikate von [http://de.wikipedia.org/wiki/Zertifizierungsstelle Zertifizierungsstellen], die sie für Vertrauenswürdig halten, fix importiert. Damit nehmen sie uns einerseits die Mühe ab, dass wir all die Root-Zertifikate selber zusammensuchen müssen, anderseits geben sie uns dadurch auch vor, wem wir (blind) zu Vertrauen haben.
So ist auch der Prozess, welcher dazu führt, das Zertifizierungsstellen aufgenommen werden, vor allem mit einem finanziellen Aufwand verbunden, welchen sich unkommerielle Zertifizierungsstellen leider kaum leisten können. Dies führt dazuSeit 2016 gibt es nun jedoch eine Zertifizierungsstelle [https://letsencrypt.org/ Let's encrypt], dass deren signierte Zertifikate welche eine kostenlose Signierung von Zertifikaten ermöglicht und von allen gängigen Browsern als unsicher gemeldet werden oder gar, aufgrund des komischen Sicherheitskonzept des Internet Explorers 7, und Systemen zur Validierung der Zugriff auf eine eigentlich gültig Zertifikaten akzeptiert wird. Wir haben begonnen diese Zertifizierungsstelle in unsere Systeme einzupflegen und somit vertrauenswürdig verschlüsselte Seite explizit nicht empfohlen wirdverwenden nun diese für die meisten Domains. Mehr informationen dazu findest du in unserem [https://www.immerda.ch/info/2016/12/25/letsencrypt.html Blogartikel] dazu.
Dem Eine frühere Variante, welche wir verfolgten, war unsere eigene CA zu etablieren und für unsere Services zu verwenden. Zertifikate, die durch diese CA signiert sind, werden jedoch nicht einfach so für gültig erklärt, weil unsere CA ja nicht in den Browsern vorhanden ist. Dieser Umstand kann dadurch abgeholfen geändert werden, dass indem wir das Root-Zertifikat der jeweiligen Zertifizierungsstelle importieren. Damit kann dann unser Browser die Verbindung überprüfen und wir können sicher gehen, das wir auch wirklich eine gültige Verbindung aufgebaut haben. === CACert === Diese Problematik besteht leider gerade Dieses Problem stellt sich insbesondere bei [http://cacertunseren eigenen CA, da wir nicht vor haben in die allgemeinen Browsern aufgenommen zu werden.org CACert]Damit Zertifikate, einer nichtkommerziellen Zertifizierungsstelledie durch unsere CA signiert wurden, welche wir für fast all korrekt akzeptiert werden müsst ihr also unsere Seiten verwenden. Deshalb muss und sollte unbedingt das Root-Zertifikat von [http://cacert.org CACert] in euren Browser importiert werdenCA bei euch importieren. Eine Anleitung wie das Funktioniert funktioniert findet ihr [[immerda:Zertifikate#Importieren|hier]].
== Konsequenzen / Zusammenfassung ==
Allen verschlüsselten Verbindungen, bei denen der Browser (oder andere Programme) eine Warnmeldung ausgibt, ist '''nicht''' zu trauen resp. sind mit äusserster Vorsicht zu geniessen. Ihr solltet dann die Meldung (siehe [[:Bild:Non trustable ssl cert.png|Bild]]) des Browsers genau durchlesen und ggf. den Verbindungsaufbau abbrechen. Wir empfehlen den Abbruch einer verschlüsselten Verbindung vor allem dann, wenn ihr bisher beim gesichrten Zugriff auf die Seite nie eine Meldung bekommen habt.
Um den Zugriff auf die meisten Immerda Seiten zu überprüfen musst du das Root-Zertifikat von [http://cacert.org CACert] der immerdaCA in deinen Browser importieren. Eine Anleitung dazu findest du [[immerda:Zertifikate#Importieren|hier]].
[[Category:Immerda]]
[[Category:ImmerdaDocumentationProject]]
[[Category:SSL]]
1.210

Bearbeitungen

Navigationsmenü