nicht angemeldet
OpenSSL für Apache/Win2000?
Hallo!
ich weiß, OpenSSL ist eher eine Unix Anwendung, aber es ist die einzige Möglichkeit die ich gefunden habe. Kann man das auch unter Windows installieren? Das Apache Modul dürfte kein Problem sein, halt nur das Zertifikat. Wie sieht das überhaupt bei diesen SSL Zertifikaten aus? Worin unterscheiden sich die Komerziellen? Gibt es Unterschiede für die User, oder werden die alle in allen Browsern gleich akzeptiert?
Grüsse
Andreas
-
hallo,
ich weiß, OpenSSL ist eher eine Unix Anwendung, aber es ist die einzige Möglichkeit die ich gefunden habe.
Kann man das auch unter Windows installieren?Ja, eine Binaryversion ist u.a. unter http://www.modssl.org/contrib/ zu finden.
Da ist übrigens auch eine bereits SSL-fähige Apache-Version für Win32 zu finden.
Alles inklusive Dokumentation zu dem ganzen Thema (Howto usw.)halt nur das Zertifikat.
Ist in dem Howto beschrieben. Ich habe auch einige deutsche Seiten über Google gefunden, allerdings habe ich keine Ahnung, wie gut die sind.
Wie sieht das überhaupt bei diesen SSL Zertifikaten aus? Worin unterscheiden sich die Komerziellen? Gibt es Unterschiede für die User, oder werden die alle in allen Browsern gleich akzeptiert?
Selbst erstellte Zertifikate funktionieren im Pronzip vollkommen gleich, wie die von einer Zeritifizierungsinstanz (CA).
Mit einem kleinen, aber feinen, Unterschied. Die Browser überprüfen jedes Zertifikat dahingehend, ob sie auch von einem anerkannten CA stammen, in dem sie vom, im Zertifikat eingetragenen, CA eine Bestätigung suchen (das geschieht an und für sich vollkommen 'automatisch', ohne daß es der Benutzer merkt).
Sollte das Zertifikat nicht bestätigt werden, weil es eben nicht von einem der CA's stammt, wird dies dem Benutzer mitgeteilt, der dann entscheiden kann, wie er weiter mit dem Zertifikat umgehen will (einmal annehmen, immer annehmen oder ablehnen).
Was also schlechtesten Falls passiert ist, daß der Benutzer das Zertifikat manuell annehmen muß, bevor er das erste mal die https-Seite zu sehen bekommt.Selbst erstellte Zertifikate werden oft in geschlossenen Benutzerkreisen eingesetzt, z.B. Intranet, wo die Authenzität derselben leicht auch ohne offizellen CA's geprüft werden kann.
Grüße
Klaus-
Hi Klaus!
Danke für den Link und die Infos!
Wie sieht das denn aus, mit anerkannten Lizenzen? Sind die denn auch besser, sicherer oder was auch immer? Oder ist der einzige Vorteil, dass sie nicht bestätigt werden müssen?
Was müsste man wohl ausgeben, wenn man so einen Anbieter nutzt, hab da 100 USD/Jahr im Kopf, ist das so die Größenordnung, oder habe ich da Falsche Informationen? Nannte der Provider irgendwie Thawte-Lizenz, weiß aber nicht genau, ob das der Anbieter ist?!Grüsse
Andreas-
Hallo,
Wie sieht das denn aus, mit anerkannten Lizenzen? Sind die denn auch besser, sicherer oder was auch immer? Oder ist der einzige Vorteil, dass sie nicht bestätigt werden müssen?
Kommt auf die Sichtweise an. Rein technisch sind sie genaus so zu verwenden, wie anerkannte. D.h. die Daten werden dadurch genauso sicher verschlüsselt.
Für den Besucher, vor allem, wenn kein absolut sicheres Vertrauensverhältnis besteht, kann das schon einen Unterschied ausmachen.
Ich beispielsweise würde von einer Kreditkartenübertragung oder, noch schlimmer, Telebankinganwendung, Abstand nehmen, wenn ich zuerst deren Zertifikat manuell annemhen muß, weil es von keinem anerkannten CA ausgestellt wurde.
Wenn es 'nur' darum geht, daß die Daten verschlüsselt sind, alsovon dem berühmten Man-in-the-middle nicht gelesen werden sollen, ist das IMHO schon ok.
Auch für geschlossene Benutzergruppen kann es durchaus Sinn machen, die billigen selbst generierten Zertifikate zu verwenden.Was müsste man wohl ausgeben, wenn man so einen Anbieter nutzt, hab da 100 USD/Jahr im Kopf, ist das so die Größenordnung, oder habe ich da Falsche Informationen? Nannte der Provider irgendwie Thawte-Lizenz, weiß aber nicht genau, ob das der Anbieter ist?!
Keine Ahnung, aber Du kannst ja in deinem Browser mal die Liste der CA's durchgehen, die haben alle auch eine Website, wo Du dies eventuell erfahren kannst.
Grüße
Klaus-
Hi!
Dann verstehe ich aber was nicht, wenn das eh gleich sicher ist, wieso wird dann überhaupt unterschieden? Nur damit die paar ordentlich Kohle machen können? Oder nur wegen der Gefahr, dass Leute anders denken als wir(wir wollen das ja tatsächlich absichern), und damit nur den Schein der Sicherheit ausnutzen?! Kann man das überhaupt, d.h. könnte man theoretisch "unsichere Zertifikate" erstellen?Danke für den Tipp mit dem Browser, wofür der alles gut ist....
Viele Grüsse
Andreas-
Hallo,
Dann verstehe ich aber was nicht, wenn das eh gleich sicher ist, wieso wird dann überhaupt unterschieden?
Na ja, dann habe ich mich anscheinend falsch asugedrückt. Rein von der Verschlüsselungstechnik her sind beide gleich gut.
Das heißt, daß die Daten nicht im Klartext versendet werden, und der 'Man-in-the-middle' sie weder lesen noch manipulieren kann, ohne daß es auffällt.
Aber...
Es gibt eben auch den Aspekt der Daten-Authentizität. Gerade im Internet passieren die Daten verschiedenste Zwischenstationen (Router). Jede dieser Rechner, und das sind Router nun mal eben) könnte den ursprünglichen Request abfangen, und so tun, also ob er der Server wäre, der den Request abarbeinten sollte. Transparente HTTP-Proxies arbeiten z.B. so.
Du kannst zum Beispiel nicht wirklich sicher sein, ob die Daten dieses Forums auch wirklich vom richtigen Server kommen;-)
Dies würde es aber eben auch ermöglich, daß dieser 'Fake'-Server auch vollkommen falsche Daten ausliefert, oder die übertragenen Dataen mißbräuchlicher Weise auswertet.Um genau das zu verhindern, sind im Server-Zertifikat auch die Verbindungsinformationen des Servers mit abgelegt.
Bei selbst erstellten Zertifikaten kann aber vom Browser nicht überprüft werden, ob diese Informationen auch wirklich stimmen.
Jemand könnte also seinen Server mit einem ebenfalls selbst erstellten Zertifikat ausstatten, ohne daß der Besucher es wirklich überprüfen kann.
Bei einem von einem CA ausgestellten Zertifikat kann dieser CA aber die Richtigkeit des Zertifikats bestätigen, womit auch bestätigt ist, dßa die Daten vom richtigen Server kommen, bzw. zu diesem gesendet werden.Welchen Grad an Sicherheit Du wirklich benötigst, ist allerdings stark von den übertragenen Daten abhängig, und die Wahrscheinlichkeit, daß jemand Interessse hat, diese zu lesen oder zu manipulieren.
Wie gesagt, Kreditkarteninformationen oder alles was, vor allem, wirtschaftlichen Schaden für einen der beiden (Hoster und Besucher) bedeuten würde, würde ich nicht ohne offiziellem Zertifikat übertragen wollen.Für die Kreditkarten geschichte gibt es allerdings ausch verschiedene Services, die ein Kreditkartenclearing anbieten, wo neben einer geschützen Informationsübertragung auch gleich eine Überprüfung der Kreditkarteninformationen und Liquidität durchgeführt wird.
Wenn ich allerdings, wie schon angedeutet, beispielsweise ein 'Extranet', also ein von außen erreichbares Intranet realisieren will, dann kann ich das sehr wohl auch mit einem selbst erstellten Zertifikat machen, da ich die Authentizität durch firmeninternen Prozeß gewährleisten kann.
Ich hoffe, wieder etwas Licht in die Angelegenheit gebracht zu haben.
Grüße
Klaus-
Hallo!
Ich hoffe, wieder etwas Licht in die Angelegenheit gebracht zu haben.
Ja hast Du, vielen, vielen Dank dafür! Ist sehr aufschlußreich für mich! Danke vor allem dafür, dass DU so ausführlich geantwortet hast! So lerne ich immer mehr dazu ;-)
Ich werde also für allg. Webanwendungen, wie Kreditkartenzahlung oder überhaupt kpl. Online-Bestellungen auf das von einem CA ausgestellten Zertifikat wie vom Provider angeboten zurückgreifen, vor allem auch um das "Nachfragen" zu verhindern, ist bei fremden Leuten immer vertrauenserweckender, für selbstentwickelte Firmananwendung ein eigenes Zertifikat wählen, das kann man ja alles vorgeben und ist genau so sicher!Grüsse
Andreas
-
-
-
-
-