Hallo,
weiß zufällig jemand, wo ich das zertifikat, dass bei ssl verwendet wird (meins bzw. das des gegenübers) finden kann? in meinem IE-Zertifikat-Speicher ist unter „eigene Zertifikate“ nämlich keins vorhanden. würde ich das merken, wenn ich auf einer ssl-gesicherten seite bin und gar kein zertifikat habe? entsteht das bei der windows-installation?
Vielen Dank!
Gizmo
weiß zufällig jemand, wo ich das zertifikat, dass bei ssl
verwendet wird (meins bzw. das des gegenübers) finden kann? in
meinem IE-Zertifikat-Speicher ist unter „eigene Zertifikate“
nämlich keins vorhanden. würde ich das merken, wenn ich auf
einer ssl-gesicherten seite bin und gar kein zertifikat habe?
entsteht das bei der windows-installation?
Nicht du hast ein Zertifikat, sondern die Gegenseite präsentiert dir ein solches und fragt dich, ob du diesem ‚Ausweis‘ vertraust.
Es ist auch nicht ein Zertifikat, es ist je Verbindung ein Zertifikat. Ein vom Betreiber der Website, die du aufgerufen hast, erstelltes Zertifikat. Unter „eigene Zertifikate“ kannst du sie nicht finden, weil es eben nicht deine Zertifikate sind, sondern die Zertifikate der Webseitenbetreiber.
Eigene Zertifikate hättest du, wenn du selbst per ssl verschlüsselte Daten im Internet präsentieren wolltest.
Wenn du eine ssl-gesicherte Website ansurfst, wirst du aufgefordert, ein von dieser Seite vergebenes Zertifikat zu akzeptieren. Du kannst das ablehnen (und die Seite nicht besuchen), einmalig akzeptieren (Beim nächsten Besuch bekommst du die gleiche Aufforderung) oder installieren (du wirst, bis zum Ablauf des Zertifikats, nicht wieder gefragt).
Die von dir akzeptiertem Zertifikate werden auf deinem Rechner gespeichert. Wo das unter Windows ist, und wie du sie anzeigen lassen kannst, weiss ich leider nicht.
Gruss
Schorsch
weiß zufällig jemand, wo ich das zertifikat, dass bei ssl
verwendet wird (meins bzw. das des gegenübers) finden kann?
Dein Zertifikat findest Du - wie richtig geschrieben - unter "Eigene Zertifikate. Das Zertifikat Deines Gegenübers findest Du unter „Vertrauenswürdige Stammzertifizierungsstellen“ und „Zwischenzertifizierungsstellen“.
in meinem IE-Zertifikat-Speicher ist unter „eigene Zertifikate“
nämlich keins vorhanden.
Du musst Dir erst ein Zertifikat selber generieren oder käuflich bei der Zwischen- oder Stammzertifizierungsstelle erwerben.
würde ich das merken, wenn ich auf
einer ssl-gesicherten seite bin und gar kein zertifikat habe?
Nein. Die Authenfizierung erfolgt (vorwiegend) nur durch den Server.
SSL berücksichtigt zwar auch die Möglichkeit einer beidseitigen Authentifizierung (d. h. sowohl der Server als auch Du prüfen die Zertifikate auf ihre Gültigkeit), aber diese Möglichkeit ist äußerst selten implementiert.
entsteht das bei der windows-installation?
Nein. Das wäre ja auch Quatsch mit Sahnesosse. Woher soll die Windows Installation Deine Identität kennen? Und welches Maß an Sicherheit böte ein Zertifikat, das vom Anwender selbst bzw. der Installationsroutine generiert wird?
Cia, Robin.
Es ist auch nicht ein Zertifikat, es ist je Verbindung ein
Zertifikat.
Äh?
Der SSL-Server verfügt über genau ein Zertifikat, das ihn eindeutig identifiziert. Es gibt kein Zertifikat je Verbindung. Warum auch?
Ein vom Betreiber der Website, die du aufgerufen
hast, erstelltes Zertifikat.
In der Regel erstellt nicht der Betreiber der Webite das Zertifikat, sondern das TrustCenter. Die Zertifikate der bekanntesten und größten TrustCenter sind im Zertifikatsspeicher Deines Browser standardmäßig implementiert.
Generiert sich der Betreiber der WebSite ein eigenes Zertifkat, kann dieses nicht bis zur Root geprüft werden. D. h. das Vertrauen ist (im professionellen Sinn) nicht gegeben, denn jeder (Betrüger wie auch ehrliche Geschäftspersonen) können sich solch ein Zertifikat selbst erstellen.
Unter „eigene Zertifikate“ kannst
du sie nicht finden, weil es eben nicht deine Zertifikate
sind, sondern die Zertifikate der Webseitenbetreiber.
Unter „Eigene Zertifikate“ kann er sie finden, wenn er auch ein eigenes Zertifikat hat (d. h. dieses dort importiert hat). SSL berücksicht in seiner Spezifikation auch die Authentifizierung eines Anwenders.
Eigene Zertifikate hättest du, wenn du selbst per ssl
verschlüsselte Daten im Internet präsentieren wolltest.
Ich benötige kein Zertifikat, um Daten zu verschlüsseln!!! Ein Zertifikat enthält mehr als den öffentlichen Schlüssel.
Wenn du eine ssl-gesicherte Website ansurfst, wirst du
aufgefordert, ein von dieser Seite vergebenes Zertifikat zu
akzeptieren.
Die Akzeptierung erfolgt nur dann, wenn der Browser die ausstellende Instanz nicht in seinem Zertifikatsspeicher finden kann. Wird sie dort gefunden, bekommt der Anwender auch keine Aufforderung.
… Schorsch … wo hast Du denn den Quatsch gelesen, den Du hier wiedergibst?
Ciao, Robin
Hallo,
ok! Vielen Dank, dass hat mir auf jeden fall weitergeholfen. ich nehme an, die serverauthentifizierung erfolgt dann über eine vom server mit seinem private-key generierte server-id, die ich mit seinem public-key entschlüssele.
nur eines ist mir noch nicht ganz klar. gibt es generell verschiedene algorithmen fingerprints darzustellen.
wenn ich z.b. mit pegasus-mail über ssl mails downloade, dann stimmt der dort angezeigte fingerprint nicht mit dem des im IE angezeigten zertifikats überein. woran kann das liegen?
Danke!
MfG,
Gizmo
ich nehme an, die serverauthentifizierung erfolgt dann über
eine vom server mit seinem private-key generierte server-id,
die ich mit seinem public-key entschlüssele.
Fast richtig. Der Server verschlüsselt einen zufällig generiereten symmetrischen Schlüssel (Session Key) mit seinem Private Key und sendet ihn Dir zu.
Mit dem Public Key des Servers, der Dir bekannt ist bzw. in Deinem Browser hinterlegt ist, kannst Du den Session Key entpacken.
Mit Hilfe des Session Keys wird nun der gesamte Datenverkehr zwischen dem Server und Dir verschlüsselt.
nur eines ist mir noch nicht ganz klar. gibt es generell
verschiedene algorithmen fingerprints darzustellen.
Ja, es gibt verschiedene Hash-Algorithmen. Die bekanntesten sind SHA-1 und RIPEMD-160.
wenn ich z.b. mit pegasus-mail über ssl mails downloade, dann
stimmt der dort angezeigte fingerprint nicht mit dem des im IE
angezeigten zertifikats überein. woran kann das liegen?
Moooooment. Der im IE angezeigte Fingerprint ist der, der über das Zertifikat (des Servers) gezogen wurde.
Was willst Du nun prüfen? Den Fingerprint über die eMail? Dieser kann auch nicht mit dem Server Zertifikat übereinstimmen.
Hi,
wenn ich z.b. mit pegasus-mail über ssl mails downloade, dann
stimmt der dort angezeigte fingerprint nicht mit dem des im IE
angezeigten zertifikats überein. woran kann das liegen?Moooooment. Der im IE angezeigte Fingerprint ist der, der über
das Zertifikat (des Servers) gezogen wurde.Was willst Du nun prüfen? Den Fingerprint über die eMail?
Dieser kann auch nicht mit dem Server Zertifikat
übereinstimmen.
Also was mir auffiel ist folgendes: Pegasusmail kann den fingerprint tracken um bei eventuellen änderungen, manipulationen etc. eine warnung anzuzeigen. das passiert natürlich auch bei einer zertifikat änderung. die von gmx sage, ihr zertifikat sei neulich geändert worden. soweit passt alles. nur stimmen weder der fingerprint, der in pegasus (sicherheitseinstellungen für sll) angezeigt wird und der des zertifikats überein, noch das gültikeitsdatum das mir der gmx-support mitgeteilt hat. leider stellen sie ihr zertifikat nicht wie andere firmen mit allen relevanten zusatz-infos irgendwo zur verfügung. da kommt natürlich der verdacht auf, jemand könnte meine mails abhören. oder ich hab einfach was nicht richtig verstanden.
Viele Grüße,
Gizmo
ich nehme an, die serverauthentifizierung erfolgt dann über
eine vom server mit seinem private-key generierte server-id,
die ich mit seinem public-key entschlüssele.Fast richtig. Der Server verschlüsselt einen zufällig
generiereten symmetrischen Schlüssel (Session Key) mit seinem
Private Key und sendet ihn Dir zu.
fast richtig. der client generiert den session key und verschluesselt ihn (oder im falle der gott sei dank beinahe ausgestorbenen export grade ciphers einen teil davon) mit dem public key des servers. der server entschluesselt den session key dann mit seinem private key.
Mit dem Public Key des Servers, der Dir bekannt ist bzw. in
Deinem Browser hinterlegt ist, kannst Du den Session Key
entpacken.
weniger guenstig. da der public key des servers wie gesagt oeffentlich ist (steht im zertifikat), kann jetzt jeder den sessionkey entschluesseln und mitlesen, wenn das so waere.
also wenn ich was mit public key crypto geheimhalten will, dann laeuft das so:
der sender nimmt den public key des empfaengers und verschluesselt. wenn der empfaenger seinen private key noch hat und geheimgehalten hat, kann er (und nur er) die nachricht damit entschluesseln.
digitale signatur laeuft umgekehrt:
der aussteller der signatur verschluesselt einen kryptographischen hash der nachricht mit seinem private key. jetzt kann der empfaenger (oder jeder andere) den hash mit dem oeffentlichen public-key des ausstellers entschluesseln und mit einem sebst berechneten hash ueber die nachricht
vergleichen. wenn diese beiden hashs uebereinstimmen besteht eine sehr hohe wahrscheinlichkeit, dass die nachricht nicht geaendert wurde.
falls der private key des ausstellers nicht kompromittiert wurde, und der empfaenger dem public key des austellers vertraut (fingerprint per telefon, pgp web of trust oder x509 zertifikat von public CA), kann sich der empfaenger sicher sein, dass die nachricht auf dem weg nicht veraendert wurde.
Mit Hilfe des Session Keys wird nun der gesamte Datenverkehr
zwischen dem Server und Dir verschlüsselt.nur eines ist mir noch nicht ganz klar. gibt es generell
verschiedene algorithmen fingerprints darzustellen.Ja, es gibt verschiedene Hash-Algorithmen. Die bekanntesten
sind SHA-1 und RIPEMD-160.
nicht zu vergessen den immer noch sehr gebraeuchlichen md5.
wenn ich z.b. mit pegasus-mail über ssl mails downloade, dann
stimmt der dort angezeigte fingerprint nicht mit dem des im IE
angezeigten zertifikats überein. woran kann das liegen?
das liegt daran, dass der pop3 server deines providers ein anderes zertifikat hat, als das webfrontend, dass man im browser sieht.
Moooooment. Der im IE angezeigte Fingerprint ist der, der über
das Zertifikat (des Servers) gezogen wurde.Was willst Du nun prüfen? Den Fingerprint über die eMail?
Dieser kann auch nicht mit dem Server Zertifikat
übereinstimmen.
fingerprints werden im allgemeinen von langen asymmetrischen keys berechnet, nicht von emails.
joachim