sec_error_unknown_issuer

    Hallo

    Eigentlich wollte ich ja nur meine Tauchversicherung bei DAN Europe verlängern. Allerdings schaffe ich es nicht in eine geschützte Verbindung (https) aufzubauen.

    Firefox meldet

    Das verunsichert mich nun doch, da ich ja auch noch meine Kreditkartennummer angeben muss. Ist die Zertifikats-Liste nicht mehr aktuell? Kann man sich eine neue herunterladen? Ich verwende die aktuelle Firefox Version 3.0.10 (deutsch).

    Vielen Dank und Gruss

    }-^°>

    Moin und willkommen im Forum :wink:

    Zitat von Tiburon

    Eigentlich wollte ich ja nur meine Tauchversicherung bei DAN Europe verlängern. Allerdings schaffe ich es nicht in eine geschützte Verbindung (https) aufzubauen.


    Die Seite daneurope.org lässt sich bei mir erst garnicht nicht blicken. Ich vermute mal "Wartungsarbeiten". Einfach mal "irgendwann"noch mal versuchen. IE meldet aber ähnlichen "Fehler"

    [Blockierte Grafik: http://img3.imagebanana.com/img/v84143mc/thumb/dan.png]

    Besten Dank für Eure Antworten.
    Ich habe die Zertifikatliste upgedated und kriege nun meine SSL Seiten angezeigt.
    Kurze Frage, die website selber gibt keine Auskunft über die Eigentümerschaft, was Firefox etwas irritiert (IE schluckt solche Sachen ohne gross zu den User zu informieren :shock: ). Ausserdem enthalten die Seiten veschlüsselte, wie auch unverschlüsselte Elemente. Wie kann ich herausfinden, dass meine Kreditkarten Infos zu den verschlüsselten gehören? Es müsste sich dabei ja um ein forms Elemente handeln.

    Gruss und Dank

    }-^°>

    Quelle: Tiburon

    Zitat von Tiburon

    die website selber gibt keine Auskunft über die Eigentümerschaft

    Was meinst du damit?

    Zitat

    IE schluckt solche Sachen ohne gross zu den User zu informieren

    In Bezug auf das Ausgangsproblem vermute ich, dass das oben verlinkte CA-Zertifikat dort schon vorhanden ist.

    Zitat

    Ausserdem enthalten die Seiten veschlüsselte, wie auch unverschlüsselte Elemente.

    Welche Seiten? Bitte konkrete Links!

    Zitat

    Wie kann ich herausfinden, dass meine Kreditkarten Infos zu den verschlüsselten gehören?

    Was die Übertragung der Daten betrifft, so kannst du das durch Analyse des Datenverkehrs prüfen. Was Einflüsse bei der Eingabe der Daten betrifft, so wären eben die konkreten Seiten zu diskutieren.

    Punkt 1: siehe Anhang

    Punkt 2: vermutlich, ja

    Punkt 3: https://www.daneurope.org/deu/deutsch_.htm -> der inhalt wird wie's aussieht vom webserver generiert, so dass keine spezifische Seiten URLs vorliegen

    Betreffend dem Site Eigentümer ist es so, dass ich im Quelltext der DANEUROPE kein einziges meta-tag diesbezüglich gefunden habe. Das ist natürlich unschön.
    Es handelt sich dabei um verschiedene Frames. Ich nehme an, Firefox sucht für jedes Frame das betreffende meta-tag. Ich habe mehrere Frames gecheckt und kein solches meta-tag gefunden. Aber ich habe vielleicht auch nicht alle Frames "erwischt"

    Zitat


    <head>
    <title>DAN EUROPE</title>
    <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
    <meta name="GENERATOR" content="Microsoft FrontPage 3.0">
    </head>

    Vielen Dank und Gruss

    }-^°>

    Quelle: Tiburon

    Zitat von Tiburon

    Punkt 1: siehe Anhang

    Die Aussage unter "Besitzer" bezieht sich nur auf EV-SSL-Zertifikate. Auch wenn eine Seite solch ein Zertifikat nicht verwendet, ist die Verschlüsselung i. d. R. gewährleistet.

    Zitat

    Punkt 3: https://www.daneurope.org/deu/deutsch_.htm -> der inhalt wird wie's aussieht vom webserver generiert, so dass keine spezifische Seiten URLs vorliegen

    Ob die Seiten auf dem Server generiert werden oder ob diese als statische Seiten vorliegen, hat keinen Einfluss darauf, ob eine Seite einen konkreten URL hat. Den muss sie haben, sonst wäre sie nicht erreichbar.

    Zitat

    Betreffend dem Site Eigentümer ist es so, dass ich im Quelltext der DANEUROPE kein einziges meta-tag diesbezüglich gefunden habe. Das ist natürlich unschön.

    In den Meta-Angaben brauchen dazu auch keine Angaben stehen. Wenn du wissen willst, wem die Domain gehört dann whois.

    Ansonsten reicht es bspw. über AdBlock Plus das Skype-Skript zu blockieren, um die Warnmeldung über gemischte Inhalte zu verhindern.

    Tiburon stellte Folgendes dar:

    Zitat

    [...]Ich habe die Zertifikatsliste upgedated und kriege nun meine SSL-Seiten angezeigt.[...]


    So ein SSL-Verfahren ist - meiner Ansicht nach - nicht als sicher zu betrachten, da im Zuge solcher "Ende-zu-Ende-Sicherheitsprotokolle" (SSL) - und zwar unterhalb der Anwendungsebene - vordringlich die sichere, serverseitige Verwaltung des Schlüssels selber von Bedeutung ist. Da die meisten SSL-Server jedoch als "General-Purpose-Rechner" fungieren und darüberhinaus ihren "Private-Key" allgemein zur Verfügung stellen müssen, gelten solche Systeme somit - nach meiner Meinung - als nicht vertrauenswürdig.

    Obendrein werden einige Zertifikate durch betriebssystem-bedingte Voreinstellungen (also vorinstallierte Zertifizierungsinstanzen) automatisch als vertrauenswürdig eingestuft, ohne das dem Anwender die Möglichkeit einer Authentizitätsprüfung gegeben ist.


    Tiburon fragte Folgendes:

    Zitat

    [...]Ausserdem enthalten die Seiten veschlüsselte, wie auch unverschlüsselte Elemente.[...]


    Eine gesicherte HTTPS-Seite kann auch ungesicherte Frames (z.B. Eingabe-Formulare/Scripte) beinhalten. Eine gesicherte HTTPS-Seite kann im Extremfall sogar aus einem einzigen ungesicherten Frame bestehen ("aufgespannt" über die gesamte SSL-Seite), welcher zwar im Kontext der verschlüsselten Hauptseite selber ausgeführt wird, jedoch dem Sicherheits-Protokoll nicht folgt.


    Sei daher mit der Handhabung Deiner Kreditkarten-Daten sehr misstrauisch. Eine SSL-Verschlüsselung reicht - meiner Meinung nach - dabei alleine nicht aus.


    Oliver

    Quelle: Oliver222

    Zitat von Oliver222

    und darüberhinaus ihren "Private-Key" allgemein zur Verfügung stellen müssen

    Was meinst du damit? Dass der private key für root zugänglich auf dem Server-Rechner liegt?

    Zitat

    ohne das dem Anwender die Möglichkeit einer Authentizitätsprüfung gegeben ist

    Wie soll sich diese deiner Ansicht nach gestalten?

    boardraider fragte Folgendes:

    Zitat

    [...]Was meinst du damit? Dass der private key für root zugänglich auf dem Server-Rechner liegt?


    Nein. "Root" ist nicht im Sinne von "lokalen" Unix-Verfügungen (SuperUser) gemeint. Der lokale Private-Key wäre dabei auf externe Server portierbar, um ihn somit einer eingeschränkten Allgemeinheit - bezüglich einer geschützten Datenkommunikation - z.V. zu stellen.

    Unter Ausnutzung einer hoffentlich abgesicherten (und darüberhinaus lokal begrenzten) Server-Infrastruktur lässt sich - nach meinen bisherigen Informationen - ein Private-Key auch auf öffentlich zugänglichen Server-Systemen der Allgemeinheit (und zwar im Zuge von "pro bono publico" / "zum Wohle der Allgemeinheit") zur Disposition stellen. Dieses individuell-dezentralisierte und kollektive Verfahren basiert dabei jedoch logischerweise stets auch immer auf der Qualität der jeweils abzusichernden Server selber, auf denen diese asymmetrischen Schlüssel verwahrt werden müssen. Diese Server-Sicherheit ist - nach meinem bisherigen Kenntnisstand - jedoch nicht immer gegeben.

    Der Begriff "privater Schlüssel" - innerhalb so eines öffentlich-zugänglichen Server-Systems - ist dabei verwirrend. (siehe z.B. SKS / OpenPGP vs. LDAP).


    boardraider fragte darüberhinaus noch Folgendes:

    Zitat

    Wie soll sich diese [Zertifikats-Überprüfung] deiner Ansicht nach gestalten?


    Gar nicht. Eine genaue Zertifikats-Validation ist - meiner Meinung nach - bisher nicht möglich und wird es auch nie sein.

    Zertifizierungsketten beruhen i.d.R. auf Derivaten (Ableitungen der vorangehenden Authorisierungen). Innerhalb solcher Ableitungen, bzw. solcher Authorisierungsketten, kann es jedoch zu Verfälschungen kommen.

    Das SigG-konforme PKI in Deutschland folgt dabei - nach meinen bisherigen Informationen - einem zweistufigen Ansatz. (Bundesnetzagentur (B-Netz A) zur Genehmigung von Zertifizierungsstellen und die einzelnen Zertifizierungsstellen selber (z.B. die Deutsche Telekom)).

    Hierbei wird in Germany - meiner Meinung nach - "der Bock zum Gärtner" gemacht, da ein Staatsunternehmen wie die Telekom dabei seine eigenen Authorisierungen (als Wurzelzertifizierung) genehmigen kann und darf - jedoch im Zuge eines möglichen Schadensfalles über die hierarchischen Zertifizierungsketten - dennoch einen Haftungsausschluss geltend machen kann. (Stichwort: staatlicher Protektionismus).

    Wurzel-Zertifikate können - nach meiner Ansicht - somit als "Vertrauensanker" allenfalls nur die "Voraussetzung" für eine Validierung (Überprüfung) bilden - jedoch niemals eine Absicherung selber darstellen.

    Zertifizierungsstellen sollten darüberhinaus keine "Monopolstellung" bekleiden dürften...


    Oliver

    Quelle: Oliver222

    Zitat von Oliver222

    Eine genaue Zertifikats-Validation ist - meiner Meinung nach - bisher nicht möglich und wird es auch nie sein.
    [...]
    Wurzel-Zertifikate können - nach meiner Ansicht - somit als "Vertrauensanker" allenfalls nur die "Voraussetzung" für eine Validierung (Überprüfung) bilden - jedoch niemals eine Absicherung selber darstellen.


    Zunächst mal danke für deine Antwort. Welche Alternativen siehst du dann zum gegenwärtig vorhandenen System?