Beiträge von domi

  • Auto-Update von CRLs

    Hallo,

    danke für eure Antworten.

    Angel:
    Die Seiten waren soweit ganz nützlich. Ich hatte vorher schon eine Menge andere Seiten gefunden, aber diese speziellen waren nicht dabei. Das ist wohl die Geschichte mit dem Wald und den Bäumen... Für mich interessant ist die Seite:
    http://www.mozilla.org/projects/secur…ls/crlutil.html
    Unten auf der Seite das Beispiel crlutil -L -d certdir ist ganz nett, da es die CRLs aus meinem Speicher auflistet. Das habe ich auch hinbekommen; leider scheitere ich bei dem Befehl crlutil -L -d certdir -n nickname, der mir auch Details ausgeben würde. Da ich die CRLs importiere und nicht selbst erstelle kann ich ihnen ja keine nicknames geben und den CommonName anstelle des nickname einzugeben klappt bei mir nicht. Hast du mit dem tool eventuell Erfahrung?

    oliver:
    Ja, ich habe meine Fragen an verschiedenen Stellen gestellt. Aber das erschien mir legitim, da ich ja keine Antworten erhalten habe. Ich hoffe, dass sich niemand belästigt fühlt, der sich wie ich in mehreren Foren herumtreibt.
    Leider Gottes muss ich für die Uni CRLs und die Browserreaktion auf diese untersuchen. OCSP und Konsorten sind mir aber auch bekannt ;) Deine Kritik an CRLs bzw. Vorschläge wie die Whitelist lese ich aber trotzdem immer gerne, da auch sie mich weiter bringen und des öfteren auch Punkte dabei sind, die ich so noch nicht bedacht habe.
    CRLs sollten ebenso wie die Zertifikate von der CA signiert sein, so dass ich erstmal von ihrer Sicherheit ausgehe. Deshalb will ich auf den Punkt der Sicherheit hier nicht weiter eingehen. Sofern Interesse an einer gepflegten Konversation diesbezüglich besteht, bin ich aber natürlich zu haben =)

    Zu meinem Hauptanliegen, dem Firefox (und anderen Browsern): Ja, der Firefox installiert die CRLs nicht automatisch und damit habe ich mich abgefunden. Aber es ist ohne Probleme möglich diese zu importieren und ein automatisches Update einzustellen. Doch leider funktioniert (bei mir) das automatische Update nicht korrekt und ich habe noch keine Informationen erhalten, die mich davon abringen zu glauben, dass es sich hierbei um einen Bug handelt.
    Das dieser Bug eventuell für einen Großteil der Nutzer nicht relevan ist, ist für mich dabei nicht wichtig.

    Für Antworten bin ich wie immer dankbar.

    Gruss domi

  • Auto-Update von CRLs

    Hallo,

    da mir leider keiner helfen konnte werde ich was anderes probieren müssen- Ich habe vor einen Blick in den Source-Code vom Firefox zu werfen. Leider ist das Neuland für mich.

    Deshalb wäre ich dankbar für Hinweise, wo ich im Source-Code bzgl. des Auto-Updates von CRLs fündig werden könnte.

    Oder vielleicht weiß jemand, wo die CRLs gespeichert werden nachdem sie vom Browser importiert wurden. Irgendwo müssen die doch liegen. Leider habe ich sie bislang nicht gefunden.
    Ich habe die Vermutung, dass sie sich unter
    ./.mozilla/firefox/evc3to3e.default/cert8.db (Debian, sollte aber auch für ein anderes Linux gelten) bzw. C:\Dokumente und Einstellungen\usr\Anwendungsdaten\Mozilla\Firefox\Profiles\urc1p1xu.default\cert8.db (Windows XP Professional) verstecken.
    Die Werte vor dem default warden wahrscheinlich bei euch abweichen.
    Leider enthält die Datenbank nur Hex-Werte. Ich hätte gerne Informationen, wie z.B. enthaltene Zertifikate und Ausstellungsdatum etc. Weiß jemand Rat?

    Ich bin dankbar für jeden kleinen Hinweis.

    Gruss domi

  • Auto-Update von CRLs

    Kann es sein, dass das Auto-Update von CRLs im Firefox nicht funktioniert?

    Zu meiner Situation:
    Unter Extras – Einstellungen – Erweitert – Verschlüsselung – Revocation-Listen kann ich die besagten CRLs importieren. Bei einer importierten CRL kann ich ebenfalls unter Einstellungen das besagte Auto-Update aktivieren.
    Um die Funktion zu testen habe ich mir drei CRLs von Verisign (http://crl.verisign.com) heruntergeladen, die täglich aktualisiert werden. Und obwohl ich seit dem täglich längere Zeit online bin wird nichts aktualisiert.

    Liegt es an Verisign? – Kann ich mir eigentlich nicht vorstellen, da Verisign erstens sein Geld mit Zertifikaten und somit auch mit CRLs verdient und zweitens wüsste ich nicht, an welcher Stelle dort der Fehler liegen sollte…

    Oder liegt es am Firefox? – Bei Seamonkey und Netscape habe ich allerdings das gleiche Problem. Bei IE (Version 6) kann man das nicht erkenne, da dort (meines Wissens nach) nicht das CRL-Datum angezeigt wird.

    Ich bin dankbar für jegliche Antwort und sei es nur für den Link zu einem potentiell besser geeigneten Forum.

    Gruss domi

  • Ich kann auf gesperrte Seiten zugreifen =(

    Ich habe eine Frage betreffend CRLs.

    Ich habe einen Webserver mit Apache 2.0 aufgesetzt, der mit SSL arbeitet. Der Zugriff mit https auf meine Seite funktioniert wie gewünscht. Nun sperre ich das entsprechende Zertifikat, erstelle die CRL und importiere diese in meinen Firefox 2.0.1. Auch das klappt noch ohne Probleme.

    Nun versuche ich auf die Seite zu gelangen, von der ich weiß, dass ihr Zertifikat gesperrt ist… Und es klappt, was eigentlich ja nicht sein dürfte.

    Hat irgendjemand ähnliche Erfahrungen gemacht, vielleicht mit nicht selbst erstellten Seiten? Weiß jemand, wie Firefox normalerweise reagieren sollte? Oder hat jemand irgendeinen Rat für, z.B. ob es noch irgendwelche Einstellungen gibt, die ich übersehen haben könnte?
    Ich bin für alle Arten von Antworten dankbar.

    Gruss Domi

  • Revocation Listen (CRLs) automatisch importieren?

    Hallo,

    danke für deine schnelle Antwort. Es ist nicht so, dass der FF das können soll. Ich wollte nur wissen, ob ich übersehen habe, dass er es kann.

    "Du sprichst von der authorisierten Einwahl gegenüber vertraulichen Servercontent, der bezüglich seiner Verifizierung und über Open SSL-CA obendrein noch zeitlich limitiert ist? "
    Der FF kann seine CRLs doch auch automatisch updaten indem er auf die URL zugreift. Warum stellt denn der erste Zugriff einen Unterschied dar? Sicherlich sind die CRLs zeitlich limitiert, aber dafür gibt es doch das extra das Feld mit dem nächsten Update, damit der Browser weiß, wann eine Aktualisierung durchzuführen ist.

    "jedoch können solche CRL-Listen im Internet manipuliert oder verfälscht worden sein. "
    Aus diesem Grund sollten CRLs doch auch signiert sein. Wenn ich also der CRL nicht vertrauen kann, dann doch auch nicht mehr der Ca, oder sehe ich das falsch?

    "Du könntest Dir auch niemals sicher sein, ob eine URL, die über CA zwar als vertrauensvoll verifiziert worden ist, nicht doch bereits über DNS-Poisoning gehijacked wurde. "
    Da finde ich meinen Einwand wohl wieder =) Mit DNS-Poisoning kenne ich mich nicht so aus.

    Wenn ich irgendwas falsch verstanden habe, lasse ich mich gerne korrigieren.

    Gruss domi

  • Revocation Listen (CRLs) automatisch importieren?

    Hallo,

    ich weiß, dass man unter Einstellungen-Erweitert-Verschlüsselung-Revocation Listen importieren kann, indem man die entsprechende URL einträgt.

    Ich würde nun gerne wissen, ob es eine Möglichkeit gibt, die CRLs automatisch zu importieren, sobald man eine Seite lädt, in deren Zertifikat der CRL Distribution Point hinterlegt ist.
    Also ob es dem Browser möglich ist die im Distribution Point hinterlegte URL selber auszulesen und man den Import somit nicht mehr manuell durchführen muss.

    Gruss Dominic