Forum: www.mikrocontroller.net Zertifikat abgelaufen


von Marco G. (stan)


Lesenswert?

Hi,

das SSL-Zertifikat ist ja schon etwas länger abgelaufen, warum wird es 
nicht erneuert?
Class 1 Zertifikate sind ja bei StartSSL.com kostenlos, und in naher 
Zukunft integriert auch MS das CA-Zertifikat:

Eddy Nigg (StartCom Ltd.) wrote:
> Third, I'm glad to announce for the first time publicly, that Microsoft
> decided to support the StartCom CA root fully starting during the
> September-October time-frame this year. Yes, this is great news!

von Andreas S. (andreas) (Admin) Benutzerseite


Lesenswert?

Ich habe es gerade erneuert.

von Knut B. (Firma: TravelRec.) (travelrec) Benutzerseite


Lesenswert?

Es gibt seit einigen Tagen erneute Sicherheitswarnungen beim Zugriff auf 
die Forenseiten.

von Marco G. (stan)


Lesenswert?


von Peter (Gast)


Lesenswert?

Habe ich auch manchmal. Konnte aber selber kein Grund dafür finden.

Beim Zugriff auf die normale Seite( ohne https ) kommt es im IE manchmal 
zu der Meldung das ein Zertfikatsproblem besteht. Der Quelltext enhählt 
auf den ersten blick nichts was mit https zu tun hat. (Vermutlich wird 
per Javascript etwas von einer https quelle nachgeladen). Aber selbst 
ein Beobachtung des Proxy hat mit keine https quelle angezeigt. Fand ich 
etwas misteriös.

von Andreas S. (andreas) (Admin) Benutzerseite


Lesenswert?

Seltsam. Es wäre hilfreich wenn jemand einen Screenshot von den 
Detailinformationen so einer Meldung posten könnte.

von Reinhard S. (rezz)


Angehängte Dateien:

Lesenswert?

Andreas Schwarz schrieb:
> Seltsam. Es wäre hilfreich wenn jemand einen Screenshot von den
> Detailinformationen so einer Meldung posten könnte.

Hier mal bei https, hatte die Meldung heute aber auch schonmal bei http 
auf dem Schirm.

von Rufus Τ. F. (rufus) Benutzerseite


Lesenswert?

Das Root-Zertifikat von StartCom ist anscheinend noch nicht in Redmond 
angekommen.

von Reinhard S. (rezz)


Lesenswert?

Rufus t. Firefly schrieb:
> Das Root-Zertifikat von StartCom ist anscheinend noch nicht in Redmond
> angekommen.

Eher in Norwegen :)

von Benedikt K. (benedikt)


Lesenswert?

Ja, Oslo um genau zu sein.

von Reinhard S. (rezz)


Lesenswert?

Aber in Redmond auch nicht, habs grad mit IE8 ausprobiert

> Das Sicherheitszertifikat dieser Website wurde nicht von einer
> vertrauenswürdigen Zertifizierungsstelle ausgestellt.

von Uhu U. (uhu)


Lesenswert?

@ Peter:

Das ist kein Fehler. Hake "Meine Wahl für dieses Zertifikat merken" an 
und klicke dann "Zulassen".

von Rufus Τ. F. (rufus) Benutzerseite


Lesenswert?

Ach, das hatte ich mir gar nicht so genau angesehen, von wem dieser 
Browser jetzt war. Kam mir unbekannt vor, also tippte ich auf IE ...

Und der soll wohl das Root-Zertifikat von StartCom nicht kennen.

von Peter (Gast)


Lesenswert?

Diese meldung meine ich aber nicht, ich kann es hier (Arbeit) auch 
leider nicht nachvollziehen. Zuhause beim IE8 tritt das Problem 
regelmässig auf. Wenn man aber direkt auf https geht, geht alles. Es 
wird scheinbar etwas von https geladen selbst wenn man auf der normalen 
http seite ist. Und dabei kommt es zu dem Zertifikatsfehler.

mal sehen ob ich heute mal zu einer genaueren Analyse komme.

von (prx) A. K. (prx)


Lesenswert?

Wobei das vielleicht nicht daran liegt, dass das Zertifikat von StartCom 
in Redmond und Olso noch nicht angekommen sei. Sondern möglicherweise an 
fehlendem Vertrauen in diesen Zertifizierer: 
http://www.php-space.info/51__vorsicht,bei,kostenlosen,ssl,zertifikaten.html.

von Reinhard S. (rezz)


Lesenswert?

Peter schrieb:
> Diese meldung meine ich aber nicht, ich kann es hier (Arbeit) auch
> leider nicht nachvollziehen. Zuhause beim IE8 tritt das Problem
> regelmässig auf. Wenn man aber direkt auf https geht, geht alles.

Bei mir nicht, da gibts auch bei https://www.mikrocontroller.net den 
Fehler.


Uhu Uhuhu schrieb:
> @ Peter:
>
> Das ist kein Fehler. Hake "Meine Wahl für dieses Zertifikat merken" an
> und klicke dann "Zulassen".

Ich wage zu behaupten das du mich meintest. Ein Fehler bleibt auch bei 
Ignorieren dieses Fehlers ein Fehler. Die Frage ist jetzt wer den Fehler 
gemacht hat. Andreas? StartCom (ein Name bei dem ich eher misstrauisch 
werden würde)? Opera? Microsoft?

von (prx) A. K. (prx)


Lesenswert?

Beim üblichen Weg zu Zertifikaten wird durch den Kunden auf seinem 
System ein Signing Request erzeugt. Dabei bleibt der Kern des 
Zertifikats auf diesem System, nur der Request geht an den 
Zertifizierer. Damit kann der Zertifizierer zwar das Zertifikat 
signieren, aber selbst nicht in die abgesicherten Übertragungen 
eingreifen.

Bei StartCom wird laut Heise-Artikel das komplette Zertifikat bei 
StartCom erzeugt, auch der sonst lokal erzeugte Teil davon. Damit ist 
StartCom prinzipiell in der Lage, nach Belieben in die verschlüsselte 
Information einzugreifen, da dort die vollständige Information vorliegt.

Auf dieser Basis ist es nicht verwunderlich, wenn Microsoft und Opera 
sich weigern, StartCom als Zertifizierer anzuerkennen. Mozilla tut es 
jedoch, siehe 
http://www.heise.de/newsticker/Mozilla-vertraut-kostenlosen-StartCom-Zertifikaten--/meldung/73850/.

von Tom (Gast)


Lesenswert?

Zusammenfassend kann man also sagen, dass das Zertifikat für 
mikrocontroller.net defakt Schrott ist. Führt aber auch zur Fragen, wozu 
man für ein Forum https braucht (ich rede nicht vom Shop)?

von (prx) A. K. (prx)


Lesenswert?

Das Zertifikat hat m.E. einen nur wenig höheren Sicherheitsstatus als 
ein selbst ausgestelltes. Die Übertragung erfolg verschlüsselt, aber die 
Identität des Gegenübers ist kaum abgesichert, zumal die Angaben bei der 
Ausstellung kaum oder nicht wirkungsvoll überprüft werden. Eine 
einigermassen ernsthafte Überprüfung kostet eben Geld.

Gegen Angriffsversuche Dritter irgendwo zwischendrin in der Leitung ist 
man damit wohl sicher, ausser wenn das StartCom oder damit verbundene 
Interessenten sind. Nicht sicher ist jedoch, dass man auch wirklich mit 
demjenigen kommuniziert, den man an anderen Ende erwartet.

von Marco G. (stan)


Lesenswert?

Stimmt, es ist ein kostenloses Domain Validated (DV) Zertifikat. Es 
stellt sicher das mit der angegebenen Domain kommuniziert wird, gibt 
aber nicht preis welche Person dahintersteckt. Um das Zertifikat zu 
erzeugen muss man Zugriff auf den Mailserver bzw. webmaster@ haben.

Dagegen sind Class 2-Zertifikate personenvalidiert, ebenfalls kostenlos 
und ebenfalls in ihrer Anzahl unbegrenzt. [1] Die Validierung kostet 
jährlich 29,90 USD. [2]

Der private Schlüssel muss nicht vom Wizard generiert werden, es kann 
auch ein Certificate Request CSR erstellt werden. [3]

Opera benutzt IMHO den Zertifikatspeicher vom Windows, und in diesen 
wird im vierten Quartal das Root-Zertifikat von MS eingefügt. 
Funktioniert per optionalem Windows Update für Vista und 7.

[1] http://www.startssl.com/?app=25#27
[2] http://www.startssl.com/?app=34
[3] http://www.startssl.com/?app=25#44

von (prx) A. K. (prx)


Lesenswert?

Nein, Opera verwaltet die selbst.

von Uhu U. (uhu)


Lesenswert?

A. K. schrieb:
> Das Zertifikat hat m.E. einen nur wenig höheren Sicherheitsstatus als
> ein selbst ausgestelltes.

Ich halte das selbst ausgestellte Zertifikat für sicherer, da der 
geheime Schlüssel dazu nicht Dritten bekann wird.

von Peter (Gast)


Angehängte Dateien:

Lesenswert?

das Problem mit derm Zertifikat kommt beim http zugriff kommt von dem 
Werbebanner. Ja das Zertifikats-Austeller wird vom IE nicht als 
Vertrauenswürdig angesehen.

Links unten die wird die URL

https://www.mikrocontroller.net/images/bn_rakers2.png

aufgerufen

von Knut B. (Firma: TravelRec.) (travelrec) Benutzerseite


Angehängte Dateien:

Lesenswert?

Hier noch ein Screen.

von Marco G. (stan)


Lesenswert?

Uhu Uhuhu schrieb:
> Ich halte das selbst ausgestellte Zertifikat für sicherer, da der
> geheime Schlüssel dazu nicht Dritten bekann wird.

Das muss er aber nicht, siehe oben.
Wer StartCom nicht vertraut kann ja das Root-CA löschen.

In ein selbst ausgestelltes Zertifikat kann ich aber beliebige Daten 
eintragen, und damit kann tatsächlich nicht verifiziert werden, woher es 
kommt.

Meiner Meinung nach sollten im Browser die unterschiedlichen Versionen 
anders dargestellt werden, ähnlich wie EV- und normale Zertifikate. Aber 
leider versteht der Großteil der Leute den Unterschied eh nicht, und 
behandelt alle Arten gleich bzw. ignoriert die Fehlermeldungen eh.

Übrigens kann man bei Class 2 Zertifikaten von StartSSL auch mehrere 
Domains und wildcards vergeben, damit wäre ein Zertifikat möglich, das 
*.mikrocontroller.net und *.embdev.net enthält.


Tom schrieb:
> Führt aber auch zur Fragen, wozu
> man für ein Forum https braucht (ich rede nicht vom Shop)?
Für den Login, falls man nicht Gast ist?

von (prx) A. K. (prx)


Lesenswert?

Marco G. schrieb:

> Übrigens kann man bei Class 2 Zertifikaten von StartSSL auch mehrere
> Domains und wildcards vergeben, damit wäre ein Zertifikat möglich, das
> *.mikrocontroller.net und *.embdev.net enthält.

Nur ist es völlig wurscht, welche Klasse eines StartSSL Zertifikats man 
verwendet - solange deren Stammzertifikat in Windows und Opera fehlt.

von Marco G. (stan)


Lesenswert?

Zum einen kann man es selbst importieren, zum anderen ist es bei Windows 
nur noch eine Frage der Zeit. Bei Opera sieht wohl eher schlecht aus.

von (prx) A. K. (prx)


Lesenswert?

Es geht um Webserver-Zertifikate. Bei denen jeder das importieren 
müsste, der auf der Seite landet und dafür kein Mozilla verwendet. Das 
kann man nur in Einzelfällen mit mehr oder weniger geschlossenem 
Benutzerkreis machen.

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.