Moin.
Welche Zertifikate klingen denn dubios?
Selbst aktzepierte,die nicht per se im Fx vorhanden sind?
Gruß
P.
Hallo Black-Cab993,
auch ich will ergänzend zur Frage von PvW mit ein paar Fragen antworten (ich weiß, dass "man das nicht macht" ...)
1.) Betrifft das Zertifikate von Zertifizierungsstellen oder Server- bzw. Nutzerzertifikate?
2.) Welche Befürchtungen hast du bei den "dubiosen Zertifikaten". Oder anders gefragt, hast du die Thematik der X.509-Zertifikate wirklich vollständig verstanden?
Und eine Frage kann ich dir gleich beantworten:
-wo und wie kann ich Zertifikate auf Seriösität verifizieren?
Jedes von der jeweiligen nationalen Regulierungsbehörde (bei uns die RegTP bzw. bei den einzelnen TrustCentern der Verwaltungs-PKI das BSI) akkredidierte TrustCenter verfügt über eine eigene Webseite. Dort findest du u.a. folgende Angaben:
- die Policy (Zertifizierungsrichtlinie) des jeweiligen TrustCenters.
- die herunterladbaren eigenen Zertifikate des TrustCenters und deren Fingerprints. (Das sind die, die im Browser sind)
- AGB und sonstige Dokumente, welche gemeinsam mit der Policy eine Einschätzung dieser Zertifizierungsstelle gestatten.
Zur Gegenprüfung ist auch bei der jeweiligen akkreditierenden Behörde eine Liste der akkreditierten TC und auch deren Herausgeberzertifikate einzusehen bzw. herunterzuladen.
Die "Echtheit" der Herausgeberzertifikate kannst du also mit dem Fingerprint schnell überprüfen. Zur eigenen Einschätzung der Seriösität eines TrustCenters gehört viel Erfahrung ... . Aber ich gehe davon aus, dass die "ausländischen" nationalen Genehmigungsbehörden ihre Arbeit genau so gut machen, wie bei uns die RegTP und das BSI. (Sorry Herr S aus M!:) "Gut" bedeutet hier penetrant pingelig! Und das muss wohl auch so ein.
==> Du kannst also bei den so wie oben akkreditierten TC davon ausgehen, dass diese "seriös" sind.
Und weil die eigene Einschätzung wie beschrieben viel Erfahrung erfordert, nehmen uns die "Herausgeber" der diversen Browser, Mail- und anderen Programme diese Einschätzung ab. Zumindest sollten sie das auch "seriös" machen ... .
==> Und an dieser Stelle müsste ich deine Antwort auf meine zweite Frage kennen ... .
MfG Peter
Black Cab993 fragte u.A. Folgendes:
a. -wo und wie kann ich Zertifikate auf Seriosität verifizieren?
b. -wie „gehen“(?) Zertifikate dauerhaft zu löschen?
a. Gar nicht...
Die Akkreditierung (Vertrauenswürdigkeit) einer CA (engl. Certificate Authority / Zertifizierungsstelle) ist i.d.R. national "räumlich" beschränkt. So eine CA ist als übergeordnete Wurzelinstanz bisher europaweit technisch noch nicht systemübergreifend ausgestaltet worden. Die einzelnen Zertifikate selber mögen durchaus seriös durch wie auch immer geartete CA´s ausgestellt worden sein – nur wüsstest Du – als Anwender - somit immer noch nicht genau einzuschätzen, wer diese digitalen Beglaubigungen – zu welchem Zweck genau – ursprünglich gezeichnet hatte. Der jeweils eingesetzte Browser zeigt Dir dabei bloss das Ende einer Kette von berechtigten Beglaubigungen an, die im Endeffekt jedoch nichts zu bedeuten haben können.
Ein z.B. in Germany ansässiger Zahlungsdienstleister, könnte sich durchaus ein valides - über eine ausländische CA geführtes Zertifikat – beschaffen, welches dabei jedoch nicht den europäischen Rechtsnormen entsprechen muss. Bei solchen digitalen Zertifikaten gelten bisher leider keine Landesgrenzen und obendrein noch keine einheitlichen gesetzlichen Regelungen.
b. Benutzt Du vielleicht Windows?
Sofern dass der Fall sein sollte, so versuche bitte in der „Windows-Systemsteuerung“ > „Komponenten hinzufügen/entfernen“ > "Stammzertifikate aktualisieren" das automatische Wiederherstellen der SSL-Beglaubigungen durch Abwahl dieser Option zu deaktivieren. Du wärst dann obendrein auch i.d.L. eigene (Stamm)-Zertifizierungsstellen (bzw. Deine eigenen Zertifikate) in das Betriebssystem einzuspeisen.
Oliver
http://support.microsoft.com/default.aspx?scid=kb;de;283717
http://technet.microsoft.com/de-de/library/ee126164(WS.10).aspx
Zitat von Black-Cab993Oder liegen die vlt. standardmäßig im FF vor?
Denke schon, ja :-??
[Blockierte Grafik: http://s1.directupload.net/images/110128/temp/iwkzhacb.jpg]
BlackCab993 stellte Folgendes in Frage:
Meine "Befürchtung" war bzw. ist, dass mir irgendwer ein dubioses Zertifikat unterjubelt bzw. untergejubelt hat und so ggf. sicherheitsrelevante Daten abzweigen oder umleiten kann.
Deine Befürchtung ist unbegründet.
Du als Anwender entscheidest in letzter Instanz, welche Informationen (Daten) genau abgerufen werden dürfen.
Die in Deinem vorangestellten Beitrag aufgezählten (internationalen) CA´s sind bereits als allgemeiner SSL-Standard validiert. (siehe untenstehende Verlinkung).
Beachte dabei jedoch, dass die Situation zweier Kommunikationspartner, die unterschiedlichen CA´s untergeordnet sind, dennoch problematisch werden kann, da diese einzelnen CA´s somit auch unterschiedlichen Vertrauensbereichen zugehörig wären. Solche unterschiedlichen „CA-Domänen“ können deshalb nur über sog. Cross-Zertifikate (Zwischen-Zertifikate) validiert werden, die jedoch die digitalen Schlüssel zur vertraulichen Kommunikation öffentlich verwalten und übertragen müssen. Von daher ist so ein Validierungspfad unterschiedlicher CA´s u.U. als kompromittierbar anzusehen.
International gültige CA´s - sowie bisher angestrebte überregionale PKI-Projekte - sind bisher bloss theoretischer Natur und stellen deshalb bedauerlicherweise immer noch „Insel-Lösungen“ dar. (siehe z.B. dazu die internationale Sicherheits-Problematik des digitalen Personalausweises in Germany).
Oliver
