HTTPS Zertifikate - Wie prüft ein Browser diese?
- Ersteller Garack
- Erstellt am
hi
der browser hat die rootCA zertifikate der aussteller (z.b. Verisign) hinterlegt und erkennt alle daraus abgeleiteten Zertifikate (intermediate). daher "muss" der browser nur einigen (hundert) root zertifikaten vertrauen um allen darunter zu vertrauen.
leider werden die CRL listen (nicht mehr gültige zertifikate) von den meisten browsern nicht automatisch berücksichtigt (IE, Firefox)
bei deiner überlegung wegen sicherheitslücke verstehe ich den zusammenhang ned. die zertifikate denen der browser vertraut beinhalten ja nur den PUBLIC schlüssel zur überprüfung der zertifikate, jedoch ned die PRIVATE schlüssel zum ausstellen der zertifikate..
der browser hat die rootCA zertifikate der aussteller (z.b. Verisign) hinterlegt und erkennt alle daraus abgeleiteten Zertifikate (intermediate). daher "muss" der browser nur einigen (hundert) root zertifikaten vertrauen um allen darunter zu vertrauen.
leider werden die CRL listen (nicht mehr gültige zertifikate) von den meisten browsern nicht automatisch berücksichtigt (IE, Firefox)
bei deiner überlegung wegen sicherheitslücke verstehe ich den zusammenhang ned. die zertifikate denen der browser vertraut beinhalten ja nur den PUBLIC schlüssel zur überprüfung der zertifikate, jedoch ned die PRIVATE schlüssel zum ausstellen der zertifikate..
Zuletzt bearbeitet:
Naja wenn der Browser diese hinterlegt hat, kann man sie ja auch manipulieren oder ausspähen..
Wie aktualisiert der Browser denn diese rootCA? Und CRL Listen werden von Chrome aktualisiert um dann ungültige Zertifikate zu checken?
Hmm, so wie ich das verstanden habt vergeben CA, also Organisationen Zertifikate an ANtragsteller. Diese verifizieren sich und bekommen das Zertifikat mit Verschlüsselungsinfos und vielen anderen Infos..Der Browser prüft nun Zertifikate auf deren Echtheit. Muss also auch solche hinterlegt haben. Schon bei der Installation? Und wo sind diese hinterlegt, kann da jeder ran?
Wie aktualisiert der Browser denn diese rootCA? Und CRL Listen werden von Chrome aktualisiert um dann ungültige Zertifikate zu checken?
Hmm, so wie ich das verstanden habt vergeben CA, also Organisationen Zertifikate an ANtragsteller. Diese verifizieren sich und bekommen das Zertifikat mit Verschlüsselungsinfos und vielen anderen Infos..Der Browser prüft nun Zertifikate auf deren Echtheit. Muss also auch solche hinterlegt haben. Schon bei der Installation? Und wo sind diese hinterlegt, kann da jeder ran?
genau, die PUBLIC zertifikate liegen bei dir auf deinem pc. diese werden bei der installation mitgeliefert und bei den updates jeweils aktualisiert (firefox, IE). daher könnte man diese auch auf deinem pc editieren. ob da schutzmassnahmen hinterlegt sind, weiss ich ned. man kann die zertifikate allerdings über die fingerprints und hashes mit den jeweiligen von den anbietern vergleichen. so bieten unter anderem die banken meist den fingerprint an, mit welchem du das zertifikat überprüfen kannst.
wenn du firefox hast kannst du dir die rootCA und vertrauenswürdigen zertifikate unter Extras => Einstellung => Erweitert => Zertifikate Anzeigen anzeigen lassen. internet explorer (windows operating system) unter Tools => Internet Options => Conten => Certificates. hier sind die hinterlegt - und lassen sich auch editieren wenn du genügend rechte hast.
Da einbinden von CRLs ist bei beiden browsern relativ einfach, braucht einfach beim starten der jeweiligen seite etwas länger.
chrome kenn ich leider überhaupt nicht.
wenn du firefox hast kannst du dir die rootCA und vertrauenswürdigen zertifikate unter Extras => Einstellung => Erweitert => Zertifikate Anzeigen anzeigen lassen. internet explorer (windows operating system) unter Tools => Internet Options => Conten => Certificates. hier sind die hinterlegt - und lassen sich auch editieren wenn du genügend rechte hast.
Da einbinden von CRLs ist bei beiden browsern relativ einfach, braucht einfach beim starten der jeweiligen seite etwas länger.
chrome kenn ich leider überhaupt nicht.
pravum
Ensign
- Registriert
- Okt. 2012
- Beiträge
- 133
Die Browsereigene Validation der Zertifikate ist veraltet und anfällig für Attacken.
Bessere Lösungen:
Perspectives (Firefox)
https://addons.mozilla.org/de/firefox/addon/perspectives/
oder
HTTPS Everywhere und das implementierte SSL Observatory (Firefox und Chrome)
https://www.eff.org/https-everywhere
Bessere Lösungen:
Perspectives (Firefox)
https://addons.mozilla.org/de/firefox/addon/perspectives/
oder
HTTPS Everywhere und das implementierte SSL Observatory (Firefox und Chrome)
https://www.eff.org/https-everywhere
