Hi, das SSL-Zertifikat ist ja schon etwas länger abgelaufen, warum wird es nicht erneuert? Class 1 Zertifikate sind ja bei StartSSL.com kostenlos, und in naher Zukunft integriert auch MS das CA-Zertifikat: Eddy Nigg (StartCom Ltd.) wrote: > Third, I'm glad to announce for the first time publicly, that Microsoft > decided to support the StartCom CA root fully starting during the > September-October time-frame this year. Yes, this is great news!
Es gibt seit einigen Tagen erneute Sicherheitswarnungen beim Zugriff auf die Forenseiten.
Habe ich auch manchmal. Konnte aber selber kein Grund dafür finden. Beim Zugriff auf die normale Seite( ohne https ) kommt es im IE manchmal zu der Meldung das ein Zertfikatsproblem besteht. Der Quelltext enhählt auf den ersten blick nichts was mit https zu tun hat. (Vermutlich wird per Javascript etwas von einer https quelle nachgeladen). Aber selbst ein Beobachtung des Proxy hat mit keine https quelle angezeigt. Fand ich etwas misteriös.
Seltsam. Es wäre hilfreich wenn jemand einen Screenshot von den Detailinformationen so einer Meldung posten könnte.
Andreas Schwarz schrieb: > Seltsam. Es wäre hilfreich wenn jemand einen Screenshot von den > Detailinformationen so einer Meldung posten könnte. Hier mal bei https, hatte die Meldung heute aber auch schonmal bei http auf dem Schirm.
Das Root-Zertifikat von StartCom ist anscheinend noch nicht in Redmond angekommen.
Rufus t. Firefly schrieb: > Das Root-Zertifikat von StartCom ist anscheinend noch nicht in Redmond > angekommen. Eher in Norwegen :)
Aber in Redmond auch nicht, habs grad mit IE8 ausprobiert > Das Sicherheitszertifikat dieser Website wurde nicht von einer > vertrauenswürdigen Zertifizierungsstelle ausgestellt.
@ Peter: Das ist kein Fehler. Hake "Meine Wahl für dieses Zertifikat merken" an und klicke dann "Zulassen".
Ach, das hatte ich mir gar nicht so genau angesehen, von wem dieser Browser jetzt war. Kam mir unbekannt vor, also tippte ich auf IE ... Und der soll wohl das Root-Zertifikat von StartCom nicht kennen.
Diese meldung meine ich aber nicht, ich kann es hier (Arbeit) auch leider nicht nachvollziehen. Zuhause beim IE8 tritt das Problem regelmässig auf. Wenn man aber direkt auf https geht, geht alles. Es wird scheinbar etwas von https geladen selbst wenn man auf der normalen http seite ist. Und dabei kommt es zu dem Zertifikatsfehler. mal sehen ob ich heute mal zu einer genaueren Analyse komme.
Wobei das vielleicht nicht daran liegt, dass das Zertifikat von StartCom in Redmond und Olso noch nicht angekommen sei. Sondern möglicherweise an fehlendem Vertrauen in diesen Zertifizierer: http://www.php-space.info/51__vorsicht,bei,kostenlosen,ssl,zertifikaten.html.
Peter schrieb: > Diese meldung meine ich aber nicht, ich kann es hier (Arbeit) auch > leider nicht nachvollziehen. Zuhause beim IE8 tritt das Problem > regelmässig auf. Wenn man aber direkt auf https geht, geht alles. Bei mir nicht, da gibts auch bei https://www.mikrocontroller.net den Fehler. Uhu Uhuhu schrieb: > @ Peter: > > Das ist kein Fehler. Hake "Meine Wahl für dieses Zertifikat merken" an > und klicke dann "Zulassen". Ich wage zu behaupten das du mich meintest. Ein Fehler bleibt auch bei Ignorieren dieses Fehlers ein Fehler. Die Frage ist jetzt wer den Fehler gemacht hat. Andreas? StartCom (ein Name bei dem ich eher misstrauisch werden würde)? Opera? Microsoft?
Beim üblichen Weg zu Zertifikaten wird durch den Kunden auf seinem System ein Signing Request erzeugt. Dabei bleibt der Kern des Zertifikats auf diesem System, nur der Request geht an den Zertifizierer. Damit kann der Zertifizierer zwar das Zertifikat signieren, aber selbst nicht in die abgesicherten Übertragungen eingreifen. Bei StartCom wird laut Heise-Artikel das komplette Zertifikat bei StartCom erzeugt, auch der sonst lokal erzeugte Teil davon. Damit ist StartCom prinzipiell in der Lage, nach Belieben in die verschlüsselte Information einzugreifen, da dort die vollständige Information vorliegt. Auf dieser Basis ist es nicht verwunderlich, wenn Microsoft und Opera sich weigern, StartCom als Zertifizierer anzuerkennen. Mozilla tut es jedoch, siehe http://www.heise.de/newsticker/Mozilla-vertraut-kostenlosen-StartCom-Zertifikaten--/meldung/73850/.
Zusammenfassend kann man also sagen, dass das Zertifikat für mikrocontroller.net defakt Schrott ist. Führt aber auch zur Fragen, wozu man für ein Forum https braucht (ich rede nicht vom Shop)?
Das Zertifikat hat m.E. einen nur wenig höheren Sicherheitsstatus als ein selbst ausgestelltes. Die Übertragung erfolg verschlüsselt, aber die Identität des Gegenübers ist kaum abgesichert, zumal die Angaben bei der Ausstellung kaum oder nicht wirkungsvoll überprüft werden. Eine einigermassen ernsthafte Überprüfung kostet eben Geld. Gegen Angriffsversuche Dritter irgendwo zwischendrin in der Leitung ist man damit wohl sicher, ausser wenn das StartCom oder damit verbundene Interessenten sind. Nicht sicher ist jedoch, dass man auch wirklich mit demjenigen kommuniziert, den man an anderen Ende erwartet.
Stimmt, es ist ein kostenloses Domain Validated (DV) Zertifikat. Es stellt sicher das mit der angegebenen Domain kommuniziert wird, gibt aber nicht preis welche Person dahintersteckt. Um das Zertifikat zu erzeugen muss man Zugriff auf den Mailserver bzw. webmaster@ haben. Dagegen sind Class 2-Zertifikate personenvalidiert, ebenfalls kostenlos und ebenfalls in ihrer Anzahl unbegrenzt. [1] Die Validierung kostet jährlich 29,90 USD. [2] Der private Schlüssel muss nicht vom Wizard generiert werden, es kann auch ein Certificate Request CSR erstellt werden. [3] Opera benutzt IMHO den Zertifikatspeicher vom Windows, und in diesen wird im vierten Quartal das Root-Zertifikat von MS eingefügt. Funktioniert per optionalem Windows Update für Vista und 7. [1] http://www.startssl.com/?app=25#27 [2] http://www.startssl.com/?app=34 [3] http://www.startssl.com/?app=25#44
A. K. schrieb: > Das Zertifikat hat m.E. einen nur wenig höheren Sicherheitsstatus als > ein selbst ausgestelltes. Ich halte das selbst ausgestellte Zertifikat für sicherer, da der geheime Schlüssel dazu nicht Dritten bekann wird.
das Problem mit derm Zertifikat kommt beim http zugriff kommt von dem Werbebanner. Ja das Zertifikats-Austeller wird vom IE nicht als Vertrauenswürdig angesehen. Links unten die wird die URL https://www.mikrocontroller.net/images/bn_rakers2.png aufgerufen
Uhu Uhuhu schrieb: > Ich halte das selbst ausgestellte Zertifikat für sicherer, da der > geheime Schlüssel dazu nicht Dritten bekann wird. Das muss er aber nicht, siehe oben. Wer StartCom nicht vertraut kann ja das Root-CA löschen. In ein selbst ausgestelltes Zertifikat kann ich aber beliebige Daten eintragen, und damit kann tatsächlich nicht verifiziert werden, woher es kommt. Meiner Meinung nach sollten im Browser die unterschiedlichen Versionen anders dargestellt werden, ähnlich wie EV- und normale Zertifikate. Aber leider versteht der Großteil der Leute den Unterschied eh nicht, und behandelt alle Arten gleich bzw. ignoriert die Fehlermeldungen eh. Übrigens kann man bei Class 2 Zertifikaten von StartSSL auch mehrere Domains und wildcards vergeben, damit wäre ein Zertifikat möglich, das *.mikrocontroller.net und *.embdev.net enthält. Tom schrieb: > Führt aber auch zur Fragen, wozu > man für ein Forum https braucht (ich rede nicht vom Shop)? Für den Login, falls man nicht Gast ist?
Marco G. schrieb: > Übrigens kann man bei Class 2 Zertifikaten von StartSSL auch mehrere > Domains und wildcards vergeben, damit wäre ein Zertifikat möglich, das > *.mikrocontroller.net und *.embdev.net enthält. Nur ist es völlig wurscht, welche Klasse eines StartSSL Zertifikats man verwendet - solange deren Stammzertifikat in Windows und Opera fehlt.
Zum einen kann man es selbst importieren, zum anderen ist es bei Windows nur noch eine Frage der Zeit. Bei Opera sieht wohl eher schlecht aus.
Es geht um Webserver-Zertifikate. Bei denen jeder das importieren müsste, der auf der Seite landet und dafür kein Mozilla verwendet. Das kann man nur in Einzelfällen mit mehr oder weniger geschlossenem Benutzerkreis machen.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.