HTTPS Zertifikate - Wie prüft ein Browser diese?

Garack

Captain
Registriert
Mai 2006
Beiträge
3.592
Hey,

Wenn ein https Zertifikat eingeht, wie gleicht der Browser die Echtheit dieses Zertifikats ab? Direkt mit der CA? Oder sind die Daten irgendwo gespeichert (Was ja eine Sicherheitslücke wäre) ?
 
hi

der browser hat die rootCA zertifikate der aussteller (z.b. Verisign) hinterlegt und erkennt alle daraus abgeleiteten Zertifikate (intermediate). daher "muss" der browser nur einigen (hundert) root zertifikaten vertrauen um allen darunter zu vertrauen.

leider werden die CRL listen (nicht mehr gültige zertifikate) von den meisten browsern nicht automatisch berücksichtigt (IE, Firefox)

bei deiner überlegung wegen sicherheitslücke verstehe ich den zusammenhang ned. die zertifikate denen der browser vertraut beinhalten ja nur den PUBLIC schlüssel zur überprüfung der zertifikate, jedoch ned die PRIVATE schlüssel zum ausstellen der zertifikate..
 
Zuletzt bearbeitet:
Naja wenn der Browser diese hinterlegt hat, kann man sie ja auch manipulieren oder ausspähen..

Wie aktualisiert der Browser denn diese rootCA? Und CRL Listen werden von Chrome aktualisiert um dann ungültige Zertifikate zu checken?


Hmm, so wie ich das verstanden habt vergeben CA, also Organisationen Zertifikate an ANtragsteller. Diese verifizieren sich und bekommen das Zertifikat mit Verschlüsselungsinfos und vielen anderen Infos..Der Browser prüft nun Zertifikate auf deren Echtheit. Muss also auch solche hinterlegt haben. Schon bei der Installation? Und wo sind diese hinterlegt, kann da jeder ran?
 
genau, die PUBLIC zertifikate liegen bei dir auf deinem pc. diese werden bei der installation mitgeliefert und bei den updates jeweils aktualisiert (firefox, IE). daher könnte man diese auch auf deinem pc editieren. ob da schutzmassnahmen hinterlegt sind, weiss ich ned. man kann die zertifikate allerdings über die fingerprints und hashes mit den jeweiligen von den anbietern vergleichen. so bieten unter anderem die banken meist den fingerprint an, mit welchem du das zertifikat überprüfen kannst.

wenn du firefox hast kannst du dir die rootCA und vertrauenswürdigen zertifikate unter Extras => Einstellung => Erweitert => Zertifikate Anzeigen anzeigen lassen. internet explorer (windows operating system) unter Tools => Internet Options => Conten => Certificates. hier sind die hinterlegt - und lassen sich auch editieren wenn du genügend rechte hast.
Da einbinden von CRLs ist bei beiden browsern relativ einfach, braucht einfach beim starten der jeweiligen seite etwas länger.

chrome kenn ich leider überhaupt nicht.
 
Ah danke, verstehe dank der hashes also kein Risiko. Und was sind private Zertifikate?
 
Ja sieht für mich auch so aus wenn die CA schon im Browser gespeichert sind.
 
Zurück
Oben