mikrocontroller.net

Forum: www.mikrocontroller.net Zertifikat abgelaufen


Autor: Marco G. (stan)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hi,

das SSL-Zertifikat ist ja schon etwas länger abgelaufen, warum wird es 
nicht erneuert?
Class 1 Zertifikate sind ja bei StartSSL.com kostenlos, und in naher 
Zukunft integriert auch MS das CA-Zertifikat:

Eddy Nigg (StartCom Ltd.) wrote:
> Third, I'm glad to announce for the first time publicly, that Microsoft
> decided to support the StartCom CA root fully starting during the
> September-October time-frame this year. Yes, this is great news!

Autor: Andreas Schwarz (andreas) (Admin) Benutzerseite Flattr this
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich habe es gerade erneuert.

Autor: Knut Ballhause (Firma: TravelRec.) (travelrec) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Es gibt seit einigen Tagen erneute Sicherheitswarnungen beim Zugriff auf 
die Forenseiten.

Autor: Marco G. (stan)
Datum:

Bewertung
0 lesenswert
nicht lesenswert

Autor: Peter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Habe ich auch manchmal. Konnte aber selber kein Grund dafür finden.

Beim Zugriff auf die normale Seite( ohne https ) kommt es im IE manchmal 
zu der Meldung das ein Zertfikatsproblem besteht. Der Quelltext enhählt 
auf den ersten blick nichts was mit https zu tun hat. (Vermutlich wird 
per Javascript etwas von einer https quelle nachgeladen). Aber selbst 
ein Beobachtung des Proxy hat mit keine https quelle angezeigt. Fand ich 
etwas misteriös.

Autor: Andreas Schwarz (andreas) (Admin) Benutzerseite Flattr this
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Seltsam. Es wäre hilfreich wenn jemand einen Screenshot von den 
Detailinformationen so einer Meldung posten könnte.

Autor: Reinhard S. (rezz)
Datum:
Angehängte Dateien:

Bewertung
0 lesenswert
nicht lesenswert
Andreas Schwarz schrieb:
> Seltsam. Es wäre hilfreich wenn jemand einen Screenshot von den
> Detailinformationen so einer Meldung posten könnte.

Hier mal bei https, hatte die Meldung heute aber auch schonmal bei http 
auf dem Schirm.

Autor: Rufus Τ. Firefly (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Das Root-Zertifikat von StartCom ist anscheinend noch nicht in Redmond 
angekommen.

Autor: Reinhard S. (rezz)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Rufus t. Firefly schrieb:
> Das Root-Zertifikat von StartCom ist anscheinend noch nicht in Redmond
> angekommen.

Eher in Norwegen :)

Autor: Benedikt K. (benedikt) (Moderator)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ja, Oslo um genau zu sein.

Autor: Reinhard S. (rezz)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Aber in Redmond auch nicht, habs grad mit IE8 ausprobiert

> Das Sicherheitszertifikat dieser Website wurde nicht von einer
> vertrauenswürdigen Zertifizierungsstelle ausgestellt.

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
@ Peter:

Das ist kein Fehler. Hake "Meine Wahl für dieses Zertifikat merken" an 
und klicke dann "Zulassen".

Autor: Rufus Τ. Firefly (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ach, das hatte ich mir gar nicht so genau angesehen, von wem dieser 
Browser jetzt war. Kam mir unbekannt vor, also tippte ich auf IE ...

Und der soll wohl das Root-Zertifikat von StartCom nicht kennen.

Autor: Peter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Diese meldung meine ich aber nicht, ich kann es hier (Arbeit) auch 
leider nicht nachvollziehen. Zuhause beim IE8 tritt das Problem 
regelmässig auf. Wenn man aber direkt auf https geht, geht alles. Es 
wird scheinbar etwas von https geladen selbst wenn man auf der normalen 
http seite ist. Und dabei kommt es zu dem Zertifikatsfehler.

mal sehen ob ich heute mal zu einer genaueren Analyse komme.

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wobei das vielleicht nicht daran liegt, dass das Zertifikat von StartCom 
in Redmond und Olso noch nicht angekommen sei. Sondern möglicherweise an 
fehlendem Vertrauen in diesen Zertifizierer: 
http://www.php-space.info/51__vorsicht,bei,kostenl....

Autor: Reinhard S. (rezz)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Peter schrieb:
> Diese meldung meine ich aber nicht, ich kann es hier (Arbeit) auch
> leider nicht nachvollziehen. Zuhause beim IE8 tritt das Problem
> regelmässig auf. Wenn man aber direkt auf https geht, geht alles.

Bei mir nicht, da gibts auch bei https://www.mikrocontroller.net den 
Fehler.


Uhu Uhuhu schrieb:
> @ Peter:
>
> Das ist kein Fehler. Hake "Meine Wahl für dieses Zertifikat merken" an
> und klicke dann "Zulassen".

Ich wage zu behaupten das du mich meintest. Ein Fehler bleibt auch bei 
Ignorieren dieses Fehlers ein Fehler. Die Frage ist jetzt wer den Fehler 
gemacht hat. Andreas? StartCom (ein Name bei dem ich eher misstrauisch 
werden würde)? Opera? Microsoft?

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Beim üblichen Weg zu Zertifikaten wird durch den Kunden auf seinem 
System ein Signing Request erzeugt. Dabei bleibt der Kern des 
Zertifikats auf diesem System, nur der Request geht an den 
Zertifizierer. Damit kann der Zertifizierer zwar das Zertifikat 
signieren, aber selbst nicht in die abgesicherten Übertragungen 
eingreifen.

Bei StartCom wird laut Heise-Artikel das komplette Zertifikat bei 
StartCom erzeugt, auch der sonst lokal erzeugte Teil davon. Damit ist 
StartCom prinzipiell in der Lage, nach Belieben in die verschlüsselte 
Information einzugreifen, da dort die vollständige Information vorliegt.

Auf dieser Basis ist es nicht verwunderlich, wenn Microsoft und Opera 
sich weigern, StartCom als Zertifizierer anzuerkennen. Mozilla tut es 
jedoch, siehe 
http://www.heise.de/newsticker/Mozilla-vertraut-ko....

Autor: Tom (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Zusammenfassend kann man also sagen, dass das Zertifikat für 
mikrocontroller.net defakt Schrott ist. Führt aber auch zur Fragen, wozu 
man für ein Forum https braucht (ich rede nicht vom Shop)?

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Das Zertifikat hat m.E. einen nur wenig höheren Sicherheitsstatus als 
ein selbst ausgestelltes. Die Übertragung erfolg verschlüsselt, aber die 
Identität des Gegenübers ist kaum abgesichert, zumal die Angaben bei der 
Ausstellung kaum oder nicht wirkungsvoll überprüft werden. Eine 
einigermassen ernsthafte Überprüfung kostet eben Geld.

Gegen Angriffsversuche Dritter irgendwo zwischendrin in der Leitung ist 
man damit wohl sicher, ausser wenn das StartCom oder damit verbundene 
Interessenten sind. Nicht sicher ist jedoch, dass man auch wirklich mit 
demjenigen kommuniziert, den man an anderen Ende erwartet.

Autor: Marco G. (stan)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Stimmt, es ist ein kostenloses Domain Validated (DV) Zertifikat. Es 
stellt sicher das mit der angegebenen Domain kommuniziert wird, gibt 
aber nicht preis welche Person dahintersteckt. Um das Zertifikat zu 
erzeugen muss man Zugriff auf den Mailserver bzw. webmaster@ haben.

Dagegen sind Class 2-Zertifikate personenvalidiert, ebenfalls kostenlos 
und ebenfalls in ihrer Anzahl unbegrenzt. [1] Die Validierung kostet 
jährlich 29,90 USD. [2]

Der private Schlüssel muss nicht vom Wizard generiert werden, es kann 
auch ein Certificate Request CSR erstellt werden. [3]

Opera benutzt IMHO den Zertifikatspeicher vom Windows, und in diesen 
wird im vierten Quartal das Root-Zertifikat von MS eingefügt. 
Funktioniert per optionalem Windows Update für Vista und 7.

[1] http://www.startssl.com/?app=25#27
[2] http://www.startssl.com/?app=34
[3] http://www.startssl.com/?app=25#44

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nein, Opera verwaltet die selbst.

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Das Zertifikat hat m.E. einen nur wenig höheren Sicherheitsstatus als
> ein selbst ausgestelltes.

Ich halte das selbst ausgestellte Zertifikat für sicherer, da der 
geheime Schlüssel dazu nicht Dritten bekann wird.

Autor: Peter (Gast)
Datum:
Angehängte Dateien:

Bewertung
0 lesenswert
nicht lesenswert
das Problem mit derm Zertifikat kommt beim http zugriff kommt von dem 
Werbebanner. Ja das Zertifikats-Austeller wird vom IE nicht als 
Vertrauenswürdig angesehen.

Links unten die wird die URL

https://www.mikrocontroller.net/images/bn_rakers2.png

aufgerufen

Autor: Knut Ballhause (Firma: TravelRec.) (travelrec) Benutzerseite
Datum:
Angehängte Dateien:

Bewertung
0 lesenswert
nicht lesenswert
Hier noch ein Screen.

Autor: Marco G. (stan)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Uhu Uhuhu schrieb:
> Ich halte das selbst ausgestellte Zertifikat für sicherer, da der
> geheime Schlüssel dazu nicht Dritten bekann wird.

Das muss er aber nicht, siehe oben.
Wer StartCom nicht vertraut kann ja das Root-CA löschen.

In ein selbst ausgestelltes Zertifikat kann ich aber beliebige Daten 
eintragen, und damit kann tatsächlich nicht verifiziert werden, woher es 
kommt.

Meiner Meinung nach sollten im Browser die unterschiedlichen Versionen 
anders dargestellt werden, ähnlich wie EV- und normale Zertifikate. Aber 
leider versteht der Großteil der Leute den Unterschied eh nicht, und 
behandelt alle Arten gleich bzw. ignoriert die Fehlermeldungen eh.

Übrigens kann man bei Class 2 Zertifikaten von StartSSL auch mehrere 
Domains und wildcards vergeben, damit wäre ein Zertifikat möglich, das 
*.mikrocontroller.net und *.embdev.net enthält.


Tom schrieb:
> Führt aber auch zur Fragen, wozu
> man für ein Forum https braucht (ich rede nicht vom Shop)?
Für den Login, falls man nicht Gast ist?

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Marco G. schrieb:

> Übrigens kann man bei Class 2 Zertifikaten von StartSSL auch mehrere
> Domains und wildcards vergeben, damit wäre ein Zertifikat möglich, das
> *.mikrocontroller.net und *.embdev.net enthält.

Nur ist es völlig wurscht, welche Klasse eines StartSSL Zertifikats man 
verwendet - solange deren Stammzertifikat in Windows und Opera fehlt.

Autor: Marco G. (stan)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Zum einen kann man es selbst importieren, zum anderen ist es bei Windows 
nur noch eine Frage der Zeit. Bei Opera sieht wohl eher schlecht aus.

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Es geht um Webserver-Zertifikate. Bei denen jeder das importieren 
müsste, der auf der Seite landet und dafür kein Mozilla verwendet. Das 
kann man nur in Einzelfällen mit mehr oder weniger geschlossenem 
Benutzerkreis machen.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.