[HaBo]

keksinat0r · 19.08.07, 02:05

mich beschäftigt schon seit längerem die Frage,

Zitat:

"Was ist eigentlich der Unterschied zwischen selbstsignierten SSL-Zertifikaten und denen, die von Offiziellen Anbietern signiert wurden?"

( außer dass der Browser keine Warung ausgibt )

Rein von der Verschlüsselung her ist das doch das gleiche, oder?!

**bitmuncher** · 19.08.07, 02:27

Selbstsignierte Zertifikate sind leicht zu fälschen, da wohl die wenigsten User jedesmal die Zertifikat-Details durchschauen und die Fingerprints überprüfen, wenn sie auf eine Seite mit selbstsigniertem Zertifikat kommen. Da wird dann mal schnell auf Accept geklickt und schon ist man auf irgendeiner Fake-Seite ohne dass der User das merkt.

Anzeige

- Anzeige -

LX · 19.08.07, 02:30

Die Verschlüsselung ist dieselbe, die Warnung im Browser ist tatsächlich der essenzielle Unterschied. Bei einem von kommerziellen CAs (Thawte, Verisign und Co.) signierten Zertifikat ist in den meisten Browsern bereits ein Schlüssel der CA hinterlegt. Dies suggeriert, dass die CA eben den Zertifikatseigner geprüft hat und somit sichergestellt ist, dass derjenige ist, wofür er sich ausgibt. Da viele (auch kommerzielle CAs) dabei nicht gerade umfangreiche Sicherheitsprüfungen beim Unterzeichnen eines Zertifikats anwenden (ich weiß nur von wenigen, die tatsächlich den Eigner anrufen, um seine Identität zu bestätigen, viele unterzeichnen einfach nur einen Request und sacken dafür nicht gerade wenig Geld ein) heißt ein "offiziell signiertes" Zertifikat aber auch nicht unbedingt, dass es vertrauenswürdiger ist...

Wenn du einen Webshop betreibst, wäre aber die "gefühlte Sicherheit" der Kunden sicherlich ein offiziell signiertes Zertifikat wert, damit besagte Warnung eben nicht kommt. Wenn du aber nur irgendwo privat ein Zertifikat brauchst, reicht eigentlich auch ein selbst unterschriebenes.

Heinzelotto · 19.08.07, 02:37

es gibt zwei (naja, drei) möglichkeiten:

1. nehmen wir einmal an, ich erstelle mir ein key-pair unter dem namen keksinat0r und signiere das dann selbst.

Vorteile:
-ich kann vielleicht ein paar Leute damit reinlegen...

Nachteile:
-ich habe keinen Beweis, dass ich auch wirklich keksinat0r bin

2. ich erstelle mir ein key-pair und gehe zu ner CA (certificate authority), zeige dort meinen personalausweis vor und die signieren dann meinen schlüssel.

vorteile:
-das geht nur, wenn ich auch wirklich diese Person bin (oder nen Personalausweis geklaut hab

), und da einer CA normalerweise vertraut werden kann, ist somit sichergestellt, dass ich es wirklich bin

nachteile:
-kostet evtl. geld (aber das hat ja nichts mit deiner frage zu tun)

3. ich erstelle mir ein sog. Web of Trust, d.h. Freunde/Bekannte von mir, die mir vertrauen, signieren meinen Schlüssel, je mehr, desto besser

Vorteile:
-kostet nichts
-wenn jemand den Leuten vertraut, die meinen Schlüssel signiert haben, kann mit einer ziemlich hohen Wahrscheinlichkeit auch darauf vertrauen, dass der schlüssel wirklich zu mir gehört (und ihn nicht jemand anderes unter meinem namen erstellt hat).

Nachteile:
-ich habs noch nie ausprobiert, aber ich denke, dass man bestimmt ne Menge "Bürgen" braucht, damit man Vertrauen bekommt.
-> langwierig

Da durch ein selbsterstelltes Zertifikat nicht sichergestellt ist, dass die Person die ist, als die sie sich ausgibt, kommt eine Warnung.

Ich hoffe, ich konnte deine Frage damit beantworten

keksinat0r · 19.08.07, 13:17

hmm...
da sach ich doch ma dankö

menace · 19.08.07, 14:39

das mit dem WebofTrust funktioniert auch nur, falls irgendeiner deiner Bürgen im Browser mittels dessen Zertifikat eingetragen ist.

Anzeige

- Anzeige -

19.08.07, 02:27	#2 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 443	Selbstsignierte Zertifikate sind leicht zu fälschen, da wohl die wenigsten User jedesmal die Zertifikat-Details durchschauen und die Fingerprints überprüfen, wenn sie auf eine Seite mit selbstsigniertem Zertifikat kommen. Da wird dann mal schnell auf Accept geklickt und schon ist man auf irgendeiner Fake-Seite ohne dass der User das merkt. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

19.08.07, 02:30	#3 (permalink)
LX Moderator Registriert seit: 14.02.06 Likes: 21	Die Verschlüsselung ist dieselbe, die Warnung im Browser ist tatsächlich der essenzielle Unterschied. Bei einem von kommerziellen CAs (Thawte, Verisign und Co.) signierten Zertifikat ist in den meisten Browsern bereits ein Schlüssel der CA hinterlegt. Dies suggeriert, dass die CA eben den Zertifikatseigner geprüft hat und somit sichergestellt ist, dass derjenige ist, wofür er sich ausgibt. Da viele (auch kommerzielle CAs) dabei nicht gerade umfangreiche Sicherheitsprüfungen beim Unterzeichnen eines Zertifikats anwenden (ich weiß nur von wenigen, die tatsächlich den Eigner anrufen, um seine Identität zu bestätigen, viele unterzeichnen einfach nur einen Request und sacken dafür nicht gerade wenig Geld ein) heißt ein "offiziell signiertes" Zertifikat aber auch nicht unbedingt, dass es vertrauenswürdiger ist... Wenn du einen Webshop betreibst, wäre aber die "gefühlte Sicherheit" der Kunden sicherlich ein offiziell signiertes Zertifikat wert, damit besagte Warnung eben nicht kommt. Wenn du aber nur irgendwo privat ein Zertifikat brauchst, reicht eigentlich auch ein selbst unterschriebenes. __________________ "Ever tried. Ever failed. No matter. Try again. Fail again. Fail better." - Samuel Beckett JS BB LX UP

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
ActiveX signiert ?	THRALL	Code Kitchen	12	26.09.06 04:05
Jetzt ist es offiziell: UnitedLinux 1.0	Tec	News & Ankündigungen	1	22.11.02 13:52
CeBIT: Telekom äußert sich offiziell zum 1,5MBit Netz - Keine Flat ?	Flou	News & Ankündigungen	11	20.03.02 13:46

19.08.07, 02:37	#4 (permalink)
Heinzelotto Senior Member Registriert seit: 29.07.05 Likes: 0	es gibt zwei (naja, drei) möglichkeiten: 1. nehmen wir einmal an, ich erstelle mir ein key-pair unter dem namen keksinat0r und signiere das dann selbst. Vorteile: -ich kann vielleicht ein paar Leute damit reinlegen... Nachteile: -ich habe keinen Beweis, dass ich auch wirklich keksinat0r bin 2. ich erstelle mir ein key-pair und gehe zu ner CA (certificate authority), zeige dort meinen personalausweis vor und die signieren dann meinen schlüssel. vorteile: -das geht nur, wenn ich auch wirklich diese Person bin (oder nen Personalausweis geklaut hab ), und da einer CA normalerweise vertraut werden kann, ist somit sichergestellt, dass ich es wirklich bin nachteile: -kostet evtl. geld (aber das hat ja nichts mit deiner frage zu tun) 3. ich erstelle mir ein sog. Web of Trust, d.h. Freunde/Bekannte von mir, die mir vertrauen, signieren meinen Schlüssel, je mehr, desto besser Vorteile: -kostet nichts -wenn jemand den Leuten vertraut, die meinen Schlüssel signiert haben, kann mit einer ziemlich hohen Wahrscheinlichkeit auch darauf vertrauen, dass der schlüssel wirklich zu mir gehört (und ihn nicht jemand anderes unter meinem namen erstellt hat). Nachteile: -ich habs noch nie ausprobiert, aber ich denke, dass man bestimmt ne Menge "Bürgen" braucht, damit man Vertrauen bekommt. -> langwierig Da durch ein selbsterstelltes Zertifikat nicht sichergestellt ist, dass die Person die ist, als die sie sich ausgibt, kommt eine Warnung. Ich hoffe, ich konnte deine Frage damit beantworten

19.08.07, 13:17	#5 (permalink)
keksinat0r Themenstarter Registriert seit: 06.01.07 Likes: 0	hmm... da sach ich doch ma dankö

19.08.07, 14:39	#6 (permalink)
menace Registriert seit: 25.11.05 Likes: 0	das mit dem WebofTrust funktioniert auch nur, falls irgendeiner deiner Bürgen im Browser mittels dessen Zertifikat eingetragen ist.

[HaBo]

SSL - Selbstsigniert vs "Offiziell Signiert"