sind trotz jüngstem Update (09.09.2011) beim Donnervogel und beim Feuerfuchs in der Liste zu finden.
Hallo Donnervogel-Sicherheits-Experten,
sollten die nicht eigentlich entfernt sein? :nixweiss:
Gruß
Feuerdrache
[Erledigt] DigiNotar-Zertifikate ....
-
Feuerdrache -
9. September 2011 um 21:18 -
Geschlossen -
Erledigt
-
Hallo,
laut Release Notes sind die Zertifikate zurückgezogen (revoked), also noch vorhanden, aber nicht mehr verwendbar. Da ich auch nicht genau weiß, wie man das erkennt, habe ich mal beim 3.6.22er FF nachgesehen, und dort wird für alle Diginotar-Zertifikate angezeigt "Konnte aus unbekannten Gründen nicht verifiziert werden" - was man als "unbrauchbar" übersetzen könnte (hoffe ich
).
Gruß, muzel -
Zitat von "muzel"
..., und dort wird für alle Diginotar-Zertifikate angezeigt "Konnte aus unbekannten Gründen nicht verifiziert werden" - was man als "unbrauchbar" übersetzen könnte (hoffe ich
).
Gruß, muzelHallo muzel,
dann hoffe ich, dass Dein Hoffen richtig ist!
Aber eigentlich: 
ist die Hoffnung!Gruß
Feuerdrache -
Hallo,
zu diesem Thema als Ergänzung: Diginotar Zertifikate aus Mac OS X entfernen
-
Bei Thunderbird (und Firefox BTW) sind die mitgelieferten root CAs wohl "fest eingebrannt" damit eine Fälschung erschwert wird. Allerdings kann den root CAs das "Vertrauen" entzogen werden, was auch bei DigiNotar passiert ist. Zu sehen wenn man die CA Zertifikate anklickt und "Vertrauen bearbeiten" auswählt, es sollte keiner der drei Punkte mehr aktiviert sein. In dieser Form werden übrigens auch die eingebauten CAs behandelt wenn sie vom Benutzer gelöscht werden.
-
Hallo andihoe,
ZitatBei Thunderbird (und Firefox BTW) sind die mitgelieferten root CAs wohl "fest eingebrannt" damit eine Fälschung erschwert wird.
Ja, das könnte man annehmen - ist allerdings Blödsinn (sorry: => "nicht ganz zutreffend").Um mit Zertifikaten die Echtheit einer signierenden Person (=> S/MIME) oder eines Servers (=> TLS/SSL) überprüfen zu können, muss <user> zuerst dem ausstellenden TrustCenter sein Vertrauen schenken. Dazu geht <user> auf die Webseite des Herausgebers, holt sich dort zumindest den Fingerprint des Herausgeberzertifikates (oder das Zertifikat selbst) und vergleicht diesen mit dem installierten Zertifikat bzw. installiert dieses. Mit dem bewussten Aussprechen des Vertrauens setzt <user> den so genannten Vertrauensanker, was bedeutet, dass er automatisch jedem Zertifikat vertraut, welches dieses TrustCenter ausstellt.
Ich gebe zu, das machen Leute wie ich, aber ONU ist das einfach nicht zuzumuten.
Deshalb - und nur deshalb - übernehmen diese Aufgabe die Produzenten diverser Browser, Mailclients und anderer Zertifikate nutzender Software. Wir gehen davon aus, dass sie dieses nach besten Wissen und Gewissen tun. In (nennenswerten) Firmen wird auf diese Art und Weise zum Bsp. firmenintern das Herausgeberzertifikat des hauseigenen TrustCenters verteilt.
Es handelt sich also mehr oder weniger um ein Entgegenkommen der Entwickler gegenüber dem User. Keinesfalls um eine Erhöhung der Sicherheit.
Letzteres wird ja auch bestätigt durch die Vorkommnisse, die in den letzten Wochen bei einigen TrustCentern geschehen sind. Ignoranz, Schlamperei und "Einsparungen" haben dazu geführt, dass bei einigen wenigen TC Manipulationen vorgenommen werden konnten.
Aber das wissen wir ja nun mittlerweile ... .MfG Peter
-
Zitat von "Peter_Lehmann"
Hallo andihoe,
Ja, das könnte man annehmen - ist allerdings Blödsinn (sorry: => "nicht ganz zutreffend").
War wohl nicht eindeutig von mir formuliert: Mit "fest eingebrannt" ist die Tatsache gemeint das die rootCA nicht in einer vom Endnutzer änderbaren Datei vorliegen, sondern eben im Executeable enthalten sind. Die Vertrauenseinstellung ist natürlich wie beschrieben änderbar und der Grund warum diese CAs "mitgeliefert" ist mir auch klar. Das "Fälschung erschweren" bezieht sich auch nur auf den Auslieferungszustand bzw. die enthaltenen root CAs und nicht auf Zertifikate oder der Vertrauenskette an und für sich.
Gruß
Andreas
-
Community-Bot
3. September 2024 um 19:50 Hat das Thema geschlossen.
