Ausnahmeregel dauerhaft speichern funktioniert nicht

    Ja, war es also tatsächlich nur die zugehörge DB, die einen Schlag hatte. Das freut mich jetzt. :mrgreen:

    Das mit dem self-signed kam mir gestern abend auch noch in den Kopf, das Mitglied heubergen hier nutzt(e) ja auch so ein Cert und das wurde bisher auch nicht anerkannt. Dass die cert8 defekt ist, ist mir in den Jahren noch nie vorgekommen, war hier vollkommen abwegig, danke für den Tip. Deswegen auch der Hinweis auf die allgemeinen Lösungswege, da wird auch irgendwo erwähnt, dass man ein neues Profil erstellen soll, um unabhängig von allen alten Faktoren zu prüfen. Zurücksetzen hätte es aber auch schon richten können, die cert8 wird wohl nicht übernommen: https://support.mozilla.org/de/kb/firefox-…-einfach-loesen

    Irgendwann wird jeder sein Cert auf dem e-Perso haben, mit der Bundesdruckerei oder so als CA. Das würde vieles vereinfachen, aber mich gruselt, wenn ich an die damit verbundenen Möglichkeiten für Kriminelle denke.

    Hallo BS2000,

    [OT], denn das gehört eigentlich nicht zu diesem Thread!
    w
    Wieso irgendwann? (Ja, es gibt Bürger, die noch den "alten" PA haben)
    Auf jedem nPA ist bereits ein private key und das dazugehörige Zertifikat enthalten. Dieses Zertifikat ist von seinen Möglichkeiten so beschränkt (bewusst beschränkt worden!), dass es ein reines Authentifizierungs-Zertifikat ist. Das bedeutet, es könnte, wenn alle mitspielen würden, sofort zur Authentisierung seines Besitzers bei der sicheren Anmeldung an diversen IT-Systemen, Foren, bei Banken, Behörden usw. verwendet werden. Der private key welcher zur Authentisierung genutzt wird ist mit einem nur dem Inhaber bekannten Passwort (PIN) gesichert, welches in Verbindung mit dem Mikroprozessor des RFID-Chips nach wenigen (3 ?) Fehlversuchen zur Sperrung dieses Schlüssels führt.
    IMHO ist das die ggw. sicherste für die Breitenanwendung geeignete Methode zur Authentisierung. Und von der Sicherheit her stellt diese Anmeldung jede Benutzung von Benutzername/Passwort locker in den Schatten.
    Nur leider ist dieses Thema noch nicht in den Köpfen der Nutzer angekommen. Und leider sind die bürokratischen Hürden für die Nutzung noch sehr hoch und leider geistern in den Köpfen noch viele von Unwissenden verbreitete Märchen hinsichtlich der "Unsicherheit" des Verfahrens herum. Und wer will schon Geld für einen Kartenleser ausgeben ... .
    [/OT]

    Zurück zum Thema!
    Mit dem o.g. Zertifikat (*) auf dem nPA authensisiert sich der Nutzer mit seiner eigenen "elektronischen Identität" gegenüber dem Server. Macht also nur dort Sinn, wo eine derartige Auth. gewünscht bzw. erforderlich ist.
    Mit dem Zertifikat eines Servers ist es genau umgekehrt.
    Der Server zeigt dem Client bei der Verbindungsaufnahme sein von einem vertrauenswürdigen TrustCenter herausgegebenes Zertifikat vor. Damit beweist der Server, dass es sich um exakt den vom Nutzer bewusst angesteuerten Server handelt. Und als "Nebenprodukt" wird die Verbindung auch gleich mit verschlüsselt.
    Drängelt sich ein Angreifer mit Hilfe eines "Man-in-the-Middle-Angriffes" in die Verbindung rein, erkennt dies der Client und warnt den Nutzer (so lange es der Angreifer nicht geschafft hat, sich ein gültiges, also von dem ausstellenden und im Client bekannten TrustCenter signiertes, Zertifikat zu beschaffen).

    Um ein derartiges Zertifikat vom Client als gültig anzuerkennen, ist es erforderlich, dass diesem für die Gültigkeitsprüfung auch die Herausgeberzertifikate des ausstellenden TrustCenters zur Verfügung stehen. Wir nennen dieses gültige Herausgeberzertifikat auch gern den "Vertrauensanker".
    Vertrauen heißt hier, dass wir davon ausgehen können, dass dieses TrustCenter einem Antragsteller nur dann ein auf seinen persönlichen Namen (bei Nutzerzeritifikaten, wie z.Bsp. dem auf dem nPA) oder Servernamen ausstellen, wenn dieser durch Vorlage bestimmter amtlicher Dokumente seine Identität beweist. Bei Servern muss da z.Bsp. ein notariel beglaubigter Handelsregisterauszug gebracht werden, aus dem hervorgeht, dass diese Firma den Server <example.com> betreibt und der Antragsteller von dieser Firma zur Antragstellung befugt ist. Es bedeutet aber auch, dass dieses TrustCenter bestimmten technischen usw. Ansprüchen genügt.
    Ob ein TrustCenter diese hohen Anforderungen auch durchsetzt, auf welcher Technik die Zertifikate hergestellt werden, welche personellen, baulichen und verfahrenstechnischen Vorschriften angewandt, welche Prüfungen wann und durch wen durchgeführt werden, uvam. steht in der "Zertifizierungsrichtline" (der "Policy") eines jeden TrustCenters öffentlich beschrieben.
    Das kann und will natürlich kein Nutzer lesen und schon gar nicht bewerten! Deshalb übernehmen es die Herausgeber der Browser, Mailclients oder Betriebssysteme "nach bestem Wissen und Gewissen und hoher Sachkunde" (sollte man zumindest annehmen, es gibt leider auch Gegenbeispiele!) diese Überprüfung vorzunehmen und nur den Kriterien entsprechende TrustCenter in ihren Produkten vorzuinstallieren. => Das sind die vielen Einträge, welche bereits im Firefox, Thunderbird oder direkt auf der WinDOSe zu sehen sind.
    Und damit werden die Serverzertifikate, aber auch S/MIME-Zertifikate für die Mailverschlüsselung die von diesen TC herausgegeben wurden, auch automatisch als gültig erkannt. (Wenn sie noch innerhalb des Gültigkeitszeitraumes sind, wenn der in ihnen eingetragene "common name" die E-Mailadresse und andere Angaben "passen" und die Signatur valide ist.)

    Und was sind nun die Zertifikate, für die wir eine Ausnahmegenehmigung erteilen sollen?
    Das sind alle Zertifikate, bei denen "etwas nicht stimmt"!
    Kein Herausgeberzertifikat im Client/BS vorhanden, abgelaufene oder gesperrte Herausgeberzertifikate, nicht stimmende Servernamen, üble Tricks der Hersteller von AV-Scannen, die mit Hilfe eines MitM-Angriffs die verschlüsselte Verbindung überwachen möchten usw. Damit kann also der Nutzer alles, was ein X.509-Zertifikat an Sicherheit bringt/bringen soll, aushebeln!

    Ich bezeichne diese Ausnahmegenehmigung als die schlechteste Krückenlösung die es gibt! Zumindest sollte diese nur nach sehr gründlichem Nachdenken erteilt werden!

    Bei einem bekannten Herausgeber von Zertifikaten kann der User selber etwas nach einem Herausgeberzertifikat suchen. Bei einem Router- oder Drucker- usw. Hersteller findet man fast immer dessen Herausgeberzertifkat - und man kann dieses auch nach entsprechendem Nachdenken bewusst als solches importieren und ihm das Vertrauen aussprechen.
    Gleiches trifft zu bei einem von uns selbst hergestellten Zertifikat. Ist es eine Eigenproduktion habe ich auch mein eigenes Herausgeberzertifikat und es spricht absolut nichts dageben, dieses in den Browser usw. zu importieren. Wem sollten wir vertrauen, wenn nicht uns selber?
    Ich stelle z.Bsp. mit meiner "Privat-CA" jedes Jahr mehrere Hundert Zertifikate für Familie, Freunde ... und diverse Forennutzer (auch hier ...) her. Und diese Nutzer (die immer wieder nachfragen ...) haben alle mein Herausgeberzertifikat importiert. Vor allem natürlich im Thunderbird. Aber auch so mancher private Webserver, manche ownCloud auf dem RasPi usw. läuft damit.

    Fazit: fast immer kann man diese "Ausnahmegenehmigung" vermeiden, indem man bewusst (!) einem nicht gelisteten TrustCenter nach genügend eigenem Nachdenken das Vertrauen ausspricht.

    (*) Ich vereinfache hier mal, indem ich nur "Zertifikat" schreibe, und bewusst keine Unterscheidung zw. private key und Zertifikat herausstelle. Zertifikat ist immer öffentlich! Ich versuche überhaupt so verständlich und mit Vereinfachungen zu schreiben, wie ich es noch verantworten kann. Ich will auch bewusst nicht darauf eingehen, dass verbrecherische (und auch staatliche ...) Organisationen gerne mal hier einiges aushebeln indem sie einen Einbruch machen oder TrustCenter zur Kooperation zwingen.


    MfG WK

    //

    Zitat von WismutKumpel

    Ich will auch bewusst nicht darauf eingehen, dass verbrecherische (und auch staatliche ...) Organisationen gerne mal hier einiges aushebeln indem sie einen Einbruch machen oder TrustCenter zur Kooperation zwingen.

    Ich würde es auch so schreiben... das auch verbrecherische, staatliche Organisationen... und damit meine ich nicht nur ausländische Geheimdienste.. :twisted: