https - brauch ich ein zertifikat?
 

Hallo,

SSL-Zertifikate sind ja dafür da, dass sich der Server gegenüber dem Client authentifizert und so, wenn das öffentliche zertifikat des servers über eine vertrauenswürdige verbindung kommt, eine MITM-Attacke zimelich gut ausgeschlossen wird.

Kann ich eine HTTPS-Verbindung so ohne ein Zertifikat (von einer trusted CA) anbieten, dass die Browser nicht meckern?

Re: https - brauch ich ein zertifikat?
 

Wenn du (oder Zielpersonen) das Zertifikat manuell in den Browser importieren

Re: https - brauch ich ein zertifikat?
 

Ja, das weiß ich. Ich könnte natürlich das CACert-Root-Zertifikat in den Browser importieren und meinem Server ein CACert-Zertifikat ausstellen lassen.

Allerdings würde ich gerne ohne das manuelle importieren auskommen.

Re: https - brauch ich ein zertifikat?
 

Das würde ja das ganze Sicherheitskonzept ad absurdum stellen

Re: https - brauch ich ein zertifikat?
 

Hi,

das hängt wahrscheinlich auch vom Browser ab, aber normalerweise sollten die immer warnen wenn das Zertifikat nicht bekannt ist. Dh wenn du keine Warnung willst brauchst du auch wirklich eins von einer TrustedCA die bei den Browsern standardmäßig dabei sind. (Ist CACert nicht sogar schon dabei in Browser aufgenommen zu werden?)

Bei Self-Signed Zertifikaten sollten halt zumindest die Angaben stimmen, damit der Browser entsprechend nur meckert, weil ihm das Zertifikat unbekannt ist, und nicht auch noch, weil zb der FQDN nicht passt. Im Allgemeinen kann man dann ja dem Browser sagen, dass er das Zertifikat immer akzeptieren soll.

Grüße,
Chris

/Edit: Hm, scheinbar ist der Status bei den offenen Systemen zwar nich so schlecht, bei den großen Browsern aber schon ... Link

Re: https - brauch ich ein zertifikat?
 

Nein. Denn um genau das zu verhindern gibt es dieses Zertifikat-Konzept.

Re: https - brauch ich ein zertifikat?
 

Hm gut. Ein Zertifikat einer Trusted CA kostet halt leider Geld.

Hmm. Gut. Augenwischerei betreiben will ich jetzt natürlich auch nicht direkt...

Dann werd ich diese Fakten mal dem Kunden verklickern. Und den Hoster fragen, ob er auch n CACert Zertifikat auf den Server klatschen würde.

:gruebel:
Ehrlich?

Re: https - brauch ich ein zertifikat?
 

Ja. Ehrlich. Ein Webserver (wie z.B. Apache oder der IIS) kann nur ein einziges Zertifikat pro externer IP-Adresse ausliefern.
Hintergrund ist:
Browser bekommt Adresse: https://www.test.de
Browser fragt nach IP-Adresse des Servers und bekommt z.B. 1.2.3.4 zurück.
Browser fragt den Webserver 1.2.3.4 nach seinem Zertifika (wichtig! In diesem Schritt ist KEINE url beteiligt!).
Browser vergleicht die eingegebene URL (www.test.de) mit den Informationen des Zertifikates von 1.2.3.4
Nur wenn im Zertifikat von 1.2.3.4 steht, dass es für www.test.de ausgestellt wurde meckert der Browser nicht.

Re: https - brauch ich ein zertifikat?
 

hm. ah. das heißt, das Zertifikat wird nicht über ein HTTP GET angefordert, in dem der (angefragte) hostname mit übertragen wird?
klar, dann muss man das fast per statischer IP lösen.

Re: https - brauch ich ein zertifikat?
 

Korrekt. Damit wird sichergestellt dass der Server auch tatsächlich zur URL passt.

Re: https - brauch ich ein zertifikat?
 

Unterschreiben CAs grundsätzlich keine Zertifikate für dynamische Domains?

Re: https - brauch ich ein zertifikat?
 

@Dani: Man braucht wohl weniger eine statische, als vielmehr eine dezidierte IP...

Re: https - brauch ich ein zertifikat?
 

Auch korrekt :)
Die IP steht im Zertifikat gar nicht drin. Das Zertifikat wird vom Webserver eben nur direkt über die vom DNS abgefragte IP abgerufen und nicht über den Host name.

Deswegen kommt man leider immer in Schwulitäten wenn man auf einem Server mit nur einem Webserver mehrere SSL-Domains betreiben will.

Re: https - brauch ich ein zertifikat?
 

hmmm. stimmt. da hat wohl jemand bei der https-spezifikation nicht mitgedacht :D

Re: https - brauch ich ein zertifikat?
 

Hi Mod :)

Prinzipiell ja alles korrekt. Gegenbeispiel: Shared Hosting beim ehemaligen Schlund & Partner, seit langem ja (leider) 1&1.

Dort lösen verschiedene Domains zur gleichen IP auf, und alle diese Domains können ein eigenes Cert tragen. Wird als gültig anerkannt (CA ist Equifax).

Da läuft alles über den FQDN. Und nu? :zwinker:

Gruß Assertor

Re: https - brauch ich ein zertifikat?
 

Es gibt da schon Mittel und Wege: http://sweon.net/2008/01/hosting-mul...e-with-apache2

Aber er wird glaube ich nicht so an seiner Apache-Config rumfummeln dürfen. Solange man nicht root ist hat man da halt so seine Probleme. Und ganz sauber ist die Lösung auch nicht ;-)

Re: https - brauch ich ein zertifikat?
 

Full-ACK! Sollte nur erwähnt werden, daß es prinzipiell möglich ist.

Gruß Assertor

Re: https - brauch ich ein zertifikat?
 

Ja. Ich hab den Link ja auch nur deswegen so schnell parat, weil ich das auf meinem Rootserver ja auch schon gemacht hatte ;-)

Re: https - brauch ich ein zertifikat?
 

Das ist in den wenigsten Fällen wünschenswert...