Natenoms Wiki

Weil Teilen Spaß macht :)

Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

Übersetzungen dieser Seite:

Navigation



Lizenz dieses Wikis
Über dieses Wiki
Feed des Wikis
Impressum


Was gerade in meinem Blog geschieht:

sammelsurium:selbst-signierte-zertifikate

Selbst signierte(s) Zertifikat(e) akzeptieren

Neben der unverschlüsselten Verbindung über HTTP sind viele Web-Seiten auch über eine veschlüsselte Verbindung HTTPS erreichbar.

Damit der Client (der Browser) überprüfen kann, ob der Server auch derjenige ist, als der er sich ausgibt, werden Zertifikate verwendet, die von verschiedenen Organisationen, sogenannten CAs (Certificate Authorities, deutsch Zertifizierungsstellen) digital signiert werden, die für diesen simplen Vorgang nicht wenig Geld verlangen. Hersteller von Browsern wiederum liefern in ihren Produkten Listen solcher Organisationen, denen sie vertrauen.

Wird zur Verschlüsselung der HTTPS-Verbindung ein Zertifikat angeboten, wird zuerst geprüft, ob es von einer dieser Organisationen signiert wurde.
Ist dies der Fall, bekommt man dies gar nicht richtig mit.
Ist dies nicht der Fall, weil z. B. ein selbst signiertes und somit kostenfreies Zertifikat verwendet wird, so gibt es im Browser eine Warnung, die letztlich nur besagt, dass dem Zertifikat nicht vertraut wird; je nachdem mit mehr oder weniger Angst machenden Worten.

Gekaufte Zertifikate sind dabei eher wie Schlangenöl und erhöhen die Sicherheit nicht wirklich gegenüber selbst signierten Zertifikaten. Auch mit einem selbst erstellten Zertifikat ist die Verbindung zum Server verschlüsselt. Der einzige Unterschied ist, dass man bei gekauften Zertifikaten sich angeblich darauf verlassen kann, dass der Verwender wirklich derjenige ist der er vorgibt zu sein.

Außerdem übernimmt bei gekauften Zeritifikaten der Browser-Hersteller das Importieren der Zertifikate, bei selbst signierten Zertifikaten muss man dies, wie folgend beschrieben, selbst tun.

Es gibt seit längerem die Organisation mit dem Namen „Lets Encrypt“, die kostenlos Zertifikate für jeden bereitstellt, siehe hier. Dadurch habe ich alle meine Seiten mit richtigen Zertifikaten ausstatten können, wie man in meinem Blog lesen kann.

Es gibt aber natürlich weiterhin Gründe, selbst signierte Zertifikate zu nutzen, weil man dann z. B. alle Elemente des Zertifikats in der eigenen Hand hat.

Vorgehen bei verschiedenen Browsern

Damit die Warnung nicht bei jedem Besuch erscheint, kann man die beiden bei uns verwendeten Zertifikat oder auch jedes andere Zertifikat in seinen Browser importieren. Für die verschiedenen Browser gibt es hier Anleitungen zum Importieren von Zertifikaten:

Grundsätzlich funktioniert die Vorgehensweise bei allen Websites mit selbst signierten Zertifikaten.

sammelsurium/selbst-signierte-zertifikate.txt · Zuletzt geändert: 2017/02/18 22:17 von Natenom