Hallo, heute wurde bei einem Windows 7 Rechner von der Virenscanner (Avira) aktualisiert. Nach dem Neustart erhielt ich die Meldung, ob ich das Programm "wsctool.exe" ausführen möchte (siehe "Windows7_Meldung_Wartungscenter.png"). Wenn ich in diesem Dialogfenster die Option "Nein, ich möchte vor dem Ausführen die Identität des Herausgebers überprüfen" auswähle bekomme ich das Zertifikat von "Avira Operations GmbH & Co. KG" angezeigt (s. Anhang). So weit so gut. Meine Frage an Euch: Habe ich als "Normalsterblicher" die Möglichkeit zu überprüfen, ob das Zertifikat echt ist? Wenn ja wie? Mit freundlichen Grüßen Guido
:
Bearbeitet durch User
Guido C. schrieb: > Habe ich als "Normalsterblicher" die Möglichkeit zu > überprüfen, ob das Zertifikat echt ist? Wenn ja wie? Screenshot lesen. Wenn da steht, dass das Zertifikat gültig ist, dann ist es echt. Oder von jemandem gefälscht, der Zugang zur hier angegeben Zertifizierungsstelle Verisign hat. Oder der es geschafft hat, sich bei Verisign als Avira auszugeben.
:
Bearbeitet durch User
Nein, du musst dem Aussteller vertrauen, dass er nur Avira nach erfolgter Legitimitätsprüfung das Zertifikat erteilt hat. Und drauf vertrauen dass Avira das niemandem samt Passwort weitergibt oder sich klauen lässt. Die Prüfungen der Aussteller sind echt nervig, wir haben das mehrfach durch, da ist zumindest bei den großen kaum Beschiss möglich.
Christian R. schrieb: > Die Prüfungen der Aussteller sind echt nervig, wir haben > das mehrfach durch, da ist zumindest bei den großen kaum Beschiss > möglich. Je nachdem, was für eine Art von Zertifikat es ist. Da gibts auch beim gleichen Zertifizierer strenge und lasche Varianten, je nachdem wieviel man dafür blecht, zumindest bei den Server-Zertifikaten. Wobei man mittlerweile davon ausgehen muss, dass Freunde wie NSA&Co ihren eigenen Hintereingang zu Verisign haben. Aber darum wirds hier wohl nicht gehen.
:
Bearbeitet durch User
Defacto hast Du keine Chance zu bestimmen ob das Zertifikat vertrauenswürdig ist. Das ist das große Problem an CAs.
Christian Berger schrieb: > Defacto hast Du keine Chance zu bestimmen ob das Zertifikat > vertrauenswürdig ist. Das ist das große Problem an CAs. Das ist der theoretische Ansatz. Absolute Perfektion geht nicht. Der praktische Ansatz sagt: Das Zertifikat ist sicher genug. Zertifikate sind hoffentlich nicht der bestmögliche Weg, Leute/Software/Server/... zu authentifizieren. Aber solange wir keinen besseren Weg haben, der mit vertretbarem Aufwand das Ziel erreicht, müssen wir damit leben.
:
Bearbeitet durch User
A. K. schrieb: > Je nachdem, was für eine Art von Zertifikat es ist. Da gibts auch beim > gleichen Zertifizierer strenge und lasche Varianten Naja, mag sein. Code Signing bei Verisign war schon schlimm (Die Amis kapieren einfach nicht, was Fraunhofer für eine Rechtsform ist) und bei GlobalSign noch schlimmer (die kapierten leider, was Fraunhofer für eine Rechtsform ist und bestanden dann auf der Unterschrift eines Vorstandes).
Guido C. schrieb: > überprüfen, ob das Zertifikat echt ist? Wenn ja wie? Wenn der Zertifizierungs-Pfad wie auf rechtem Bild oben vollständig zu sehen ist, kann man davon ausgehen, daß es technisch in Ordnung ist. Es gibt weiterhin die Möglichkeit fehlerhafte Zertifikate zu sperren. Ob Dein System/Programm das dann so genau prüft oder ein DAU den Haken setzt, daß man ungeprüft weitermachen kann, ist eine andere Frage.
Hallo, oszi40 schrieb: > Wenn der Zertifizierungs-Pfad wie auf rechtem Bild oben vollständig zu > sehen ist, kann man davon ausgehen, daß es technisch in Ordnung ist. vielen Dank für Eure Unterstützung. Ich werde somit wie folgt vorgehen: 1. Zertifizierungs-Pfad überprüfen. 2. Überprüfen, ob das Zertifikat noch gültig ist. 3. Überprüfen, ob der im Zertifikat hinterlegte Hersteller richtig ist. Mit freundlichen Grüßen Guido
1 und 2 macht Windows für dich, wenn eines davon nicht zutrifft sagt Windows, dass es nicht signiert ist.
Hallo, Christian R. schrieb: > 1 und 2 macht Windows für dich, wenn eines davon nicht zutrifft sagt > Windows, dass es nicht signiert ist. alles klar, vielen Dank für die Info. Mit freundlichen Grüßen Guido
>Dann sagt Windows, dass es nicht signiert ist.
Falls irgendwo ein Haken "wollen sie dem immer VERtrauen" auftaucht,
kann man das machen, muß man aber nicht, wenn dadurch keine weitere
Prüfung mehr stattfindet.
Das ist wie mit dem Führerschein: Einmal bei der Autovermietung
vorgezeigt, heißt noch nicht, daß Du ihn nächste Woche noch hast. Er
könnte schon in Flensburg sein...
Üblicherweise prüft Windows Zertifikate. Man sollte aber aufpassen was
man tut. Es könnte sein, daß in eine Zertifizierungsstelle eingebrochen
wurde. Deshalb mußte vor Jahren schon mal der IE aus Sicherheitsgründen
mit den darin enthaltenen Zertifikaten plötzlich aktualisiert werden
(wie man bei Heise lesen konnte).
Sowieso Alles nur Dummpulver fürs Volk, quasi Tünnef. Wenn du willst, dass die Software funktioniert, musst du wohl OK klicken. Ansonsten sowieso nur Dünnschiss, seit die Hacke/Cracker von NSA und Freunden da ihre klebrigen Griffel dran hatten, quasi "kontaminiert" ...
Der Haken kommt aber nur wenn das Zertifikat OK ist.
Christian R. schrieb: > Der Haken kommt aber nur wenn das Zertifikat OK ist. Nein, der kommt, wenn der Browser meint, es sei OK.
Ja, meinetwegen, mehr als das was der Browser oder das OS prüfen kann man aber selbst auch nicht verifizieren. Oder rufst du den Treiberhersteller an, und fragst nach dem Hash der Signatur? Der Uhu wird ja immer mehr zum Kautz...
Christian R. schrieb: > , meinetwegen, Uhu meinte wohl: Es ist ein großer Unterschied, ob es rein technisch funktioniert oder STATT dem echten Herausgeber (dem z.B. im IE vertraut wird) eine Dönerbude mit gefälschen Eigenschaften dahintersteht! Je nach Verwendungszweck des Zertifikats kann das verschiedene Folgen haben.
Frank Esselbach schrieb: > Sowieso Alles nur Dummpulver fürs Volk, quasi Tünnef. Wenn du willst, > dass die Software funktioniert, musst du wohl OK klicken. Ansonsten > sowieso nur Dünnschiss, seit die n deinHacke/Cracker von NSA und Freunden da > ihre klebrigen Griffel dran hatten, quasi "kontaminiert" ... Angesichts dieser Grundeinstellung machst Du Banking doch bestimmt nur am Schalter? Denn per Browser steckt zunächst auch bloss eine Absicherung per Zertifikat dahinter, selbst wenn du ein c't-bankix(?) von DVD startest. Es git noch andere Schlawiner. NSA&BND wollen vielleicht an deine dreckige Wäsche, aber nicht an dein Geld. Andere schon.
A. K. schrieb: > NSA&BND wollen vielleicht an deine > dreckige Wäsche Genau deswegen sichert man den Waschkeller besser ab als das Wohnzimmer! Im Wohnzimmer steht an Samsung-TV mit Mikro und Kamera, brav ans Netzwerk angebunden, wärend im Keller nichtmal eine PLC-fähige Waschmaschine angeschafft wird, die per Netzwerk meldet das sie fertig ist! Es könnte ja ein Häcker darüber Zugriff auf die Kaffeemaschine bekommen!
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.