[Eisfair] vertrauenswürdige Zertifikate
Alexander Bahlo
fli4l at trikone.han.de
Di Jan 16 01:14:07 CET 2024
Hallo Helmut,
Am Mon, 15 Jan 2024 10:09:20 +0100
schrieb Helmut Pohl <helmut_pohl at arcor.de>:
> Diesbezüglich habe ich die Fragen,
> wie kann man ein Zertifikat erstellen, das für Firefox kein
> Sicherheitsproblem darstellt?
Antworten zum Importieren des Zertifikats hast du ja schon bekommen. Man
kann das weiter treiben und ein Root-Zertifikat für eine eigene CA
erstellen, dann bei Bedarf ein weiteres Zwischenzertifikat und dann die
Zertifikate. Die CA und/oder das Zwischenzertifikat kann man dann in den
Truststore einfügen und infolge werden die Zertifikate automatisch als
vertrauenswürdig eingestuft. Der Aufwand ist aber schon beträchtlich, für
jeden Browser, der einen anderen Truststore verwendet, muss man die
Prozedur wiederholen und so endlos gültig sind Root-Zertifikate auch nicht
mehr, wie das früher einmal der Fall gewesen ist.
> Wie erstellt man ein zusätzliches CA-Zwischenzertifikat?
Beispielsweise mit OpenSSL. Tipps welche Befehle dazu vonnöten sind,
ergeben sich per Suchmaschine und Suchwörtern wie "openssl root
zertifikat" (ich habe der Einfachheit halber erst mal nur nach
Zertifikaten für eine Root-CA gesucht). Damit gibt es Hinweise u.a. auf
"openssl ca" und "openssl req" und dergleichen. Du musst dann aber jedes
davon abhängige, also unter dieser CA erstellte Zertifikat mit
wahrscheinlich openssl ca Kommandos signieren. Rate ich wegen dem
Aufwand von ab. Hilft ja auch nicht anderen Webseitenbesuchern und für
einen selbst reicht der reine Einzelzertifikatsimport im Browser
eigentlich aus.
Falls nicht: Kaufzertifikate kaufen oder zB kostenlose Anbieter wie CAcert
(www.cacert.org) verwenden. Ich glaube, CAcert ist bei einigen
Linux-Distributionen im Paket cacerts enthalten, ist aber dennoch nicht
einfach so aktiviert, sondern das muss jeder Nutzer selbst machen, so
dass trotzdem eine entsprechende Warnmeldung kommt. CAcert hat den
Vorteil, dass man anderen Leuten glaubhaft machen kann, dass der
Zertifikatsinhaber gut überprüft wurde, wenn er ein reguläres Zertifikat
vorweisen kann und den Nachteil, dass man sich erstmal erklären muss,
wenn man dieses Zertifikat im Webserver öffentlich für andere benutzt.
Gruß, Alexander.
--
Q: What do agnostic, insomniac dyslexics do at night?
A: Stay awake and wonder if there's a dog.
Mehr Informationen über die Mailingliste Eisfair