[Erledigt] DigiNotar-Zertifikate ....

Hallo,

zu diesem Thema als Ergänzung: Diginotar Zertifikate aus Mac OS X entfernen

Bei Thunderbird (und Firefox BTW) sind die mitgelieferten root CAs wohl "fest eingebrannt" damit eine Fälschung erschwert wird. Allerdings kann den root CAs das "Vertrauen" entzogen werden, was auch bei DigiNotar passiert ist. Zu sehen wenn man die CA Zertifikate anklickt und "Vertrauen bearbeiten" auswählt, es sollte keiner der drei Punkte mehr aktiviert sein. In dieser Form werden übrigens auch die eingebauten CAs behandelt wenn sie vom Benutzer gelöscht werden.

Hallo andihoe,

Zitat

Bei Thunderbird (und Firefox BTW) sind die mitgelieferten root CAs wohl "fest eingebrannt" damit eine Fälschung erschwert wird.

Ja, das könnte man annehmen - ist allerdings Blödsinn (sorry: => "nicht ganz zutreffend").

Um mit Zertifikaten die Echtheit einer signierenden Person (=> S/MIME) oder eines Servers (=> TLS/SSL) überprüfen zu können, muss <user> zuerst dem ausstellenden TrustCenter sein Vertrauen schenken. Dazu geht <user> auf die Webseite des Herausgebers, holt sich dort zumindest den Fingerprint des Herausgeberzertifikates (oder das Zertifikat selbst) und vergleicht diesen mit dem installierten Zertifikat bzw. installiert dieses. Mit dem bewussten Aussprechen des Vertrauens setzt <user> den so genannten Vertrauensanker, was bedeutet, dass er automatisch jedem Zertifikat vertraut, welches dieses TrustCenter ausstellt.

Ich gebe zu, das machen Leute wie ich, aber ONU ist das einfach nicht zuzumuten.
Deshalb - und nur deshalb - übernehmen diese Aufgabe die Produzenten diverser Browser, Mailclients und anderer Zertifikate nutzender Software. Wir gehen davon aus, dass sie dieses nach besten Wissen und Gewissen tun. In (nennenswerten) Firmen wird auf diese Art und Weise zum Bsp. firmenintern das Herausgeberzertifikat des hauseigenen TrustCenters verteilt.
Es handelt sich also mehr oder weniger um ein Entgegenkommen der Entwickler gegenüber dem User. Keinesfalls um eine Erhöhung der Sicherheit.
Letzteres wird ja auch bestätigt durch die Vorkommnisse, die in den letzten Wochen bei einigen TrustCentern geschehen sind. Ignoranz, Schlamperei und "Einsparungen" haben dazu geführt, dass bei einigen wenigen TC Manipulationen vorgenommen werden konnten.
Aber das wissen wir ja nun mittlerweile ... .

MfG Peter

Zitat von "Peter_Lehmann"

Hallo andihoe,

Ja, das könnte man annehmen - ist allerdings Blödsinn (sorry: => "nicht ganz zutreffend").

War wohl nicht eindeutig von mir formuliert: Mit "fest eingebrannt" ist die Tatsache gemeint das die rootCA nicht in einer vom Endnutzer änderbaren Datei vorliegen, sondern eben im Executeable enthalten sind. Die Vertrauenseinstellung ist natürlich wie beschrieben änderbar und der Grund warum diese CAs "mitgeliefert" ist mir auch klar. Das "Fälschung erschweren" bezieht sich auch nur auf den Auslieferungszustand bzw. die enthaltenen root CAs und nicht auf Zertifikate oder der Vertrauenskette an und für sich.

Gruß

Andreas