SSL - Selbstsigniert vs "Offiziell Signiert"

K

keksinat0r

0
mich beschäftigt schon seit längerem die Frage,
"Was ist eigentlich der Unterschied zwischen selbstsignierten SSL-Zertifikaten und denen, die von Offiziellen Anbietern signiert wurden?"
Zum Vergrößern anklicken....
( außer dass der Browser keine Warung ausgibt )

Rein von der Verschlüsselung her ist das doch das gleiche, oder?!
 
Selbstsignierte Zertifikate sind leicht zu fälschen, da wohl die wenigsten User jedesmal die Zertifikat-Details durchschauen und die Fingerprints überprüfen, wenn sie auf eine Seite mit selbstsigniertem Zertifikat kommen. Da wird dann mal schnell auf Accept geklickt und schon ist man auf irgendeiner Fake-Seite ohne dass der User das merkt.
 
Die Verschlüsselung ist dieselbe, die Warnung im Browser ist tatsächlich der essenzielle Unterschied. Bei einem von kommerziellen CAs (Thawte, Verisign und Co.) signierten Zertifikat ist in den meisten Browsern bereits ein Schlüssel der CA hinterlegt. Dies suggeriert, dass die CA eben den Zertifikatseigner geprüft hat und somit sichergestellt ist, dass derjenige ist, wofür er sich ausgibt. Da viele (auch kommerzielle CAs) dabei nicht gerade umfangreiche Sicherheitsprüfungen beim Unterzeichnen eines Zertifikats anwenden (ich weiß nur von wenigen, die tatsächlich den Eigner anrufen, um seine Identität zu bestätigen, viele unterzeichnen einfach nur einen Request und sacken dafür nicht gerade wenig Geld ein) heißt ein "offiziell signiertes" Zertifikat aber auch nicht unbedingt, dass es vertrauenswürdiger ist...

Wenn du einen Webshop betreibst, wäre aber die "gefühlte Sicherheit" der Kunden sicherlich ein offiziell signiertes Zertifikat wert, damit besagte Warnung eben nicht kommt. Wenn du aber nur irgendwo privat ein Zertifikat brauchst, reicht eigentlich auch ein selbst unterschriebenes.
 
es gibt zwei (naja, drei) möglichkeiten:

1. nehmen wir einmal an, ich erstelle mir ein key-pair unter dem namen keksinat0r und signiere das dann selbst.

Vorteile:
-ich kann vielleicht ein paar Leute damit reinlegen...

Nachteile:
-ich habe keinen Beweis, dass ich auch wirklich keksinat0r bin


2. ich erstelle mir ein key-pair und gehe zu ner CA (certificate authority), zeige dort meinen personalausweis vor und die signieren dann meinen schlüssel.

vorteile:
-das geht nur, wenn ich auch wirklich diese Person bin (oder nen Personalausweis geklaut hab :D ), und da einer CA normalerweise vertraut werden kann, ist somit sichergestellt, dass ich es wirklich bin

nachteile:
-kostet evtl. geld (aber das hat ja nichts mit deiner frage zu tun)

3. ich erstelle mir ein sog. Web of Trust, d.h. Freunde/Bekannte von mir, die mir vertrauen, signieren meinen Schlüssel, je mehr, desto besser

Vorteile:
-kostet nichts
-wenn jemand den Leuten vertraut, die meinen Schlüssel signiert haben, kann mit einer ziemlich hohen Wahrscheinlichkeit auch darauf vertrauen, dass der schlüssel wirklich zu mir gehört (und ihn nicht jemand anderes unter meinem namen erstellt hat).

Nachteile:
-ich habs noch nie ausprobiert, aber ich denke, dass man bestimmt ne Menge "Bürgen" braucht, damit man Vertrauen bekommt.
-> langwierig

Da durch ein selbsterstelltes Zertifikat nicht sichergestellt ist, dass die Person die ist, als die sie sich ausgibt, kommt eine Warnung.

Ich hoffe, ich konnte deine Frage damit beantworten
 
das mit dem WebofTrust funktioniert auch nur, falls irgendeiner deiner Bürgen im Browser mittels dessen Zertifikat eingetragen ist.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben