Änderungen

Zur Navigation springen Zur Suche springen
Dies bedeutet, dass dein Browser (oder Mail-, Jabberprogramm usw.) ja irgendwie die Root-Zertifikate haben muss, damit es die [http://de.wikipedia.org/wiki/Authentizit%C3%A4t Authentizität] des jeweiligen Server-Zertifikats überprüfen kann. Dabei kommen uns die Browserhersteller zu Hilfe und haben bereits einige Root-Zertifikate von [http://de.wikipedia.org/wiki/Zertifizierungsstelle Zertifizierungsstellen], die sie für Vertrauenswürdig halten, fix importiert. Damit nehmen sie uns einerseits die Mühe ab, dass wir all die Root-Zertifikate selber zusammensuchen müssen, anderseits geben sie uns dadurch auch vor, wem wir (blind) zu Vertrauen haben.
So ist auch der Prozess, welcher dazu führt, das Zertifizierungsstellen aufgenommen werden, vor allem mit einem finanziellen Aufwand verbunden, welchen sich unkommerielle Zertifizierungsstellen leider kaum leisten können. Dies führt dazuSeit 2016 gibt es nun jedoch eine Zertifizierungsstelle [https://letsencrypt.org/ Let's encrypt], dass deren signierte Zertifikate welche eine kostenlose Signierung von Zertifikaten ermöglicht und von allen gängigen Browsern als unsicher gemeldet werden oder gar, aufgrund des komischen Sicherheitskonzept des Internet Explorers 7, und Systemen zur Validierung der Zugriff auf eine eigentlich gültig Zertifikaten akzeptiert wird. Wir haben begonnen diese Zertifizierungsstelle in unsere Systeme einzupflegen und somit vertrauenswürdig verschlüsselte Seite explizit nicht empfohlen wirdverwenden nun diese für die meisten Domains. Mehr informationen dazu findest du in unserem [https://www.immerda.ch/info/2016/12/25/letsencrypt.html Blogartikel] dazu.
Dem Eine frühere Variante, welche wir verfolgten, war unsere eigene CA zu etablieren und für unsere Services zu verwenden. Zertifikate, die durch diese CA signiert sind, werden jedoch nicht einfach so für gültig erklärt, weil unsere CA ja nicht in den Browsern vorhanden ist. Dieser Umstand kann dadurch abgeholfen geändert werden, dass indem wir das Root-Zertifikat der jeweiligen Zertifizierungsstelle importieren. Damit kann dann unser Browser die Verbindung überprüfen und wir können sicher gehen, das wir auch wirklich eine gültige Verbindung aufgebaut haben. === immerdaCA === Dieses Problem stellt sich insbesondere bei unseren eigenen CA, da wir nicht vor haben in die allgemeinen Browsern aufgenommen zu werden. Damit Zertifikate, die durch unsere CA signiert wurden, korrekt akzeptiert werden müsst ihr also unsere CA bei euch importieren. Eine Anleitung wie das funktioniert findet ihr [[immerda:Zertifikate|hier]].
== Konsequenzen / Zusammenfassung ==
1.210

Bearbeitungen

Navigationsmenü