nicht angemeldet
SSL Server ohne Zertifikate möglich?
Hallo,
warum kann man auf manche https Seiten im Netz gehen, ohne dass so ein Fenster aufpoppt mit der Frage, ob man das Zertifikat akzeptieren möchte?!
Wie funzt das? Kann man, wenn man den Apache selbst installieren kann, allen Besuchern SSl anbieten? Oder muss man sich dafür irgendwie von einer Organisation zertifizieren lassen(das war bisher immer meine Auffassung).
Authentisierung wäre mir nicht so wichtig. Mehr die abhörsichere Übertragung.
Geht das?
-
Hi,
warum kann man auf manche https Seiten im Netz gehen, ohne dass so ein Fenster aufpoppt mit der Frage, ob man das Zertifikat akzeptieren möchte?!
Drehen wir es mal anders herum, wenn das Fensterchen aufpoppt, dann ist der Browser eher der Meinung, es würde mit dem Zertifikat etwas nicht stimmen, z.b.
(1) abgelaufen
(2) Domain aus dem Zertifikat stimmt nicht mit der aufgerufenen Domain überein
(3) dem Herausgeber bzw. dem Besitzer (oder andersrum) wird nicht vertraut.Jenachdem von wem das Zertifikat ausgestellt ist, wird diesem Aussteller (und damit implizit den ausgestellten Zertifikaten) per default vertraut solange nicht u.a. (1) und (2) verletzt worden sind.
Wie funzt das? Kann man, wenn man den Apache selbst installieren kann, allen Besuchern SSl anbieten? Oder muss man sich dafür irgendwie von einer Organisation zertifizieren lassen(das war bisher immer meine Auffassung).
Ja, kann man quasi. Das Stichwort lautet open-ssl, für Apache gibt es ein Modul mod-ssl (wenn ich nicht irre). Mit diesen Stichworten kommst du sicher weiter.
Fragt sich, wo du den Apachen installieren willst? Bei dir zuhause?
Zertifizieren (dir selbst ein SSL Server Zertifikat ausstellen) kannst du dich technisch selbst. Nur wer vertraut dir und deinem eigenen Zertifikat?
Authentisierung wäre mir nicht so wichtig. Mehr die abhörsichere Übertragung.
Kommt drauf an, an wen du die Daten überträgst. Was nützt dir die Abhörsicherheit, wenn der Gauner dich mit einem gefälschtem Zertifikat hereinlegt (und du glaubst du kommunizierst mit der richtigen Person).
So long, Frank
-
Hi,
danke für die Antwort.
Drehen wir es mal anders herum, wenn das Fensterchen aufpoppt, dann ist der Browser eher der Meinung, es würde mit dem Zertifikat etwas nicht stimmen, z.b.
(1) abgelaufen
(2) Domain aus dem Zertifikat stimmt nicht mit der aufgerufenen Domain überein
(3) dem Herausgeber bzw. dem Besitzer (oder andersrum) wird nicht vertraut.Ach so, deswegen kommt man auf so viele https Seiten, ohne dass etwas aufpoppt.
Fragt sich, wo du den Apachen installieren willst? Bei dir zuhause?
Ich frage erst einmal nur aus technischer Neugier. Mit dem Überwachungswahn unserer Regierung wird man ja paranoid. Ich möchte mal wissen wie viele Leute in Zukunft wegen Verfolgungswahn zum Psychiater gehen werden(ist ernst gemeint), wenn das mit der Telekommunikationsüberwachung los geht.
Ich möchte vielleicht einen Root Server mieten und meinen Besuchern garantieren das die Verbindung zwischen ihrem Rechner und dem Server nicht abgehört wird. Es handelt sich dabei weder um Ecommerce noch um etwas Illegales.
Zertifizieren (dir selbst ein SSL Server Zertifikat ausstellen) kannst du dich technisch selbst. Nur wer vertraut dir und deinem eigenen Zertifikat?
??? Blödes Argument! Warum sollten die mir nicht vertrauen!? Wir vertrauen doch auch dem selfhtml Server ohne Zertifikat. Und der benutzt überhaupt keine Sicherheit. Es geht wirklich nur um verschlüsselte Übertragung. Ja total paranoide könnten annehmen, das jemand DNS spoofing/phishing/etc betreibt.
Aber würden alle Webserver standardmässig verschlüsseln, dann gäbe es doch wohl mehr nichtgespoofte Seiten als gespoofte!Ich verstehe sowieso nicht warum nicht jeder Webserver im Netz verschlüsselt. Was zwischen z.B. mir und dem Selfhtml Server passiert geht doch keinen Router in China, Peru, Neuseeland oder USA was an.
Die können jetzt alle mitlesen. Ich bin in 1000 Foren registriert und Benutername und Passwort wird so gut wie immer unverschlüsselt übertragen.Wenn ich in irgendeinem Forum in WWW eine private Nachricht an einen anderen schicke muss das doch nicht das ganze Internet mitlesen können. Oder Suchanfragen bei google , und, und, und.
Kommt drauf an, an wen du die Daten überträgst. Was nützt dir die Abhörsicherheit, wenn der Gauner dich mit einem gefälschtem Zertifikat hereinlegt (und du glaubst du kommunizierst mit der richtigen Person).
Der Server soll ja alles zwischen den Besuchern und dem Server verschlüsseln. Ich sage nicht, dass es keine gefälschten Zertifikate gibt. Aber würden alle Webserver standardmässig verschlüsseln, säßen nicht zig Administrator an irgendwelchen Routern in Internet und schnüffeln mit Ethereal und wie sie alle heißen nach User/Pass Kombos .
Ich sehe keinen Grund warum man in der freien Welt nur Verbindungen zwischen Banken und bei ECommerce verschlüsseln lassen soll.
IP v4 unterstützt ja keine Verschlüsselung von hause aus. Darum also über den Server.
Das einzige Tutorial das ich über open SSL gefunden habe ist das von sitepoint.
Kennst du ein Tutorial, das erklärt wie man sich ein Zertifikat selbst austellt?
-
Ich verstehe sowieso nicht warum nicht jeder Webserver im Netz verschlüsselt.
Weil protokollbedingt für jede verschlüsselt operierende (Web-) Domain eine eigene IP-Adresse notwendig ist.
Üblicherweise werden im Falle von HTTP unter ein- und derselben IP-Adresse mehrere Domains betrieben, um derartiger Resourcenverschwendung entgegen zu wirken. Je nach Auslastung kann eine IP-Adresse ohne weiteres mehrere dutzend bis über hundert Domains bedienen, entsprechend wird an IP-Adressen gespart. Bei zig Millionen Domains kommt da einiges zusammen.Der Server soll ja alles zwischen den Besuchern und dem Server verschlüsseln. Ich sage nicht, dass es keine gefälschten Zertifikate gibt. Aber würden alle Webserver standardmässig verschlüsseln, säßen nicht zig Administrator an irgendwelchen Routern in Internet und schnüffeln mit Ethereal und wie sie alle heißen nach User/Pass-Kombos.
Wer sich diese Mühe macht, hat bestimmt auch kein Problem damit, sich in die Verbindung zwischen dir und dem Server einzuklinken (Stichwort "man-in-the-middle").
Verschlüsselte Verbindungen ohne zertifizierte Schlüssel sind vielleicht besser als gänzlich unverschlüsselte, aber dann letztlich auch nur so viel wert wie ein Blatt Papier als Ausweisdokument taugt. Jeder kann sich ein Papier mit seinem Namen ausdrucken, genauso kann jeder ein Zertifikat für deinen Server erzeugen.
Wenn du also schon die Verschlüsselung angehst, dann solltest du das auch ordentlich machen und eine Beglaubigung einholen. Die gibt es für dreistellige Eurobeträge bei den üblichen Verdächtigen (eine Liste findest du in deinen Browsereinstellungen) oder für fast umsonst bei http://www.cacert.org/. Erstere haben den Vorteil, dass ihre Zertifikate schon im Browser installiert sind, also keine weitere Nachfrage erscheint.
Kennst du ein Tutorial, das erklärt wie man sich ein Zertifikat selbst austellt?
Steht in der mod_ssl-FAQ.
-
Hi,
Wer sich diese Mühe macht, hat bestimmt auch kein Problem damit, sich in die Verbindung zwischen dir und dem Server einzuklinken (Stichwort "man-in-the-middle").
Um genau deswegen ist Verschlüsseln besser als nicht verschlüsseln.
Die Wahrscheinlichkeit dass am Ende ein Betrüger sitzt verändert sich doch nicht. Die ist doch konstant und unabhängig davon.
Und was heißt hier sich Mühe machen?! Weiß du wie viele Institutionen es auf der Welt gibt(Bücherei, Firma, Amt, etc, etc, etc). Dort gibt es überall LAN Admins die Passwörter und Privates ausspähen können, wenn über das LAN gesurft wird.Ich fände es sogar besser, wenn die Verbindung zu selfhtml verschlüsselt wäre.
Verschlüsselte Verbindungen ohne zertifizierte Schlüssel sind vielleicht besser als gänzlich unverschlüsselte, aber dann letztlich auch nur so viel wert wie ein Blatt Papier als Ausweisdokument taugt.
Sehe ich nicht so. Du redest von Authentizität. Unverschlüsselte Verbindungen sind eher wie Postkarten und verschlüsselte Verbindungen sind wie zugeklebte Briefe. Bei denen weiß man auch nicht 100%, dass sie beim Empfänger landen, aber die Sicherheit, dass keiner mitliest ist um ein vielfaches höher als bei Postkarten.
Wenn du also schon die Verschlüsselung angehst, dann solltest du das auch ordentlich machen und eine Beglaubigung einholen. Die gibt es für dreistellige Eurobeträge bei den üblichen Verdächtigen (eine Liste findest du in deinen Browsereinstellungen) oder für fast umsonst bei http://www.cacert.org/. Erstere haben den Vorteil, dass ihre Zertifikate schon im Browser installiert sind, also keine weitere Nachfrage erscheint.
Ich finde alles was die Sicherheit erhöht sollte verwendet werden.
Ist außerdem gut für freie Meinungsäußerung(siehe große Chinesische Firewall die sonst alles herausfiltern kann).-
Yerf!
Verschlüsselte Verbindungen ohne zertifizierte Schlüssel sind vielleicht besser als gänzlich unverschlüsselte, aber dann letztlich auch nur so viel wert wie ein Blatt Papier als Ausweisdokument taugt.
Sehe ich nicht so. Du redest von Authentizität. Unverschlüsselte Verbindungen sind eher wie Postkarten und verschlüsselte Verbindungen sind wie zugeklebte Briefe. Bei denen weiß man auch nicht 100%, dass sie beim Empfänger landen, aber die Sicherheit, dass keiner mitliest ist um ein vielfaches höher als bei Postkarten.
Er redet davon, dass ein Umschlag noch kein Beweis dafür ist, dass der Briefträger nicht doch mitgelesen hat. Er könnte den Brief ja nach dem Lesen in einen neuen Umschlag stecken. Dies bemerkt man eben nur, wenn bekannt ist, in welchem Umschlag der Brief stecken müsste (vertrauenswürdiger Schlüssel).
Gruß,
Harlequin
-
Wer sich diese Mühe macht, hat bestimmt auch kein Problem damit, sich in die Verbindung zwischen dir und dem Server einzuklinken (Stichwort "man-in-the-middle").
Um genau deswegen ist Verschlüsseln besser als nicht verschlüsseln.
Die Wahrscheinlichkeit dass am Ende ein Betrüger sitzt verändert sich doch nicht.Es geht nicht um die Frage, ob am _Ende_ ein Betrüger sitzt, es geht darum, ob in der _Mitte_ ein Betrüger sitzt ("man in the middle" = "Person in der Mitte"). Mit einem unbeglaubigten Zertifikat kannst du nicht sicherstellen, dass jemand (oder viele) in der Mitte der Verbindung mithorcht. Und gerade darum geht es dir doch, dass niemand mithören kann.
Ein pöser Pube könnte selbst ein Zertifikat erzeugen und deinen Namen draufpappen. Dann braucht er nur noch einen Verbindungsaufbau abzufangen und dem Besucher gegenüber sein Zertifikat aufs Auge zu drücken. Zwischen Besucher und pösem Puben wird mit dem Pöse-Puben-Zertifikat verschlüsselt, zwischen dem pösen Puben und dir mit deinem Zertifikat, der pöse Pube in der Mitte entschlüsselt mit Zertifikat A, speichert und verschlüsselt anschließend für die Weiterlieferung mit Zertifikat B (bzw. in der anderen Richtung genau andersrum). Alle freuen sich über die Verschlüsselung und der pöse Pube, dass er mitlesen kann. Was hast du von so einer Verschlüsselung? Nicht viel.
Ich will's dir nicht ausreden, aber du solltest wissen, worauf du dich ohne fremdunterschriebenem Zertifikat einlässt.
Ich finde alles was die Sicherheit erhöht sollte verwendet werden.
Es besteht die Möglichkeit, dass du mit einer laschen Sicherheitsrichtlinie die Sache nur verschlimmbesserst, denn Du gauckelst Unerfahrenen, die sich auf dich verlassen, womöglich Sicherheiten vor, die gar nicht existieren.
Ist außerdem gut für freie Meinungsäußerung(siehe große Chinesische Firewall die sonst alles herausfiltern kann).
LOL, du glaubst nicht ernsthaft, dass ein Staat, der in großem Stil unliebsame Äußerungen zensiert, sich von einer Verschlüsselung aufhalten lässt? Im einfachsten Fall werden nicht zu entschlüsselnde Verbindungen kurzerhand gekappt und derjenige, der es wagte, gegen das Verschlüsselungsverbot zu verstoßen, wandert ins nächste Arbeitslager. Bumms, fertig.
-
-
-
Internet - Datenübertragung - Vertraulichkeit - Verschlüsselung -> Gedankenkette ...
Deswegen nochmal: Ja, technishc geht das ohne Probleme. Ob es von akzeptierbarem praktischen Nutzen ist, entscheiden du und deine Kunden/Benutzer. Full Stop.
Aber auf deinem Level über den Sinn und Unsinn von einer Generalverschlüsselung allen HTTP-Verkehrs zu diskutieren, sprengt leider den Rahmen meiner Möglichkeiten.
Unter Windows (2003 Server) musste ich die "Zertifikatsdienste" installieren, ein Root-Zertifikat erzeugen und dann kann ich da nach belieben Zertifikats-Anfrage-Dateien einkippen und Zertifikatsdateien generieren um sie dann auf IIS Webservern installieren zu können.
Für mein Ubuntu musste ich irgendwelche Pakete installieren und kryptische Shell-Befehle ausführen lassen (danke an VMWare ;)) um SSL zum Laufen zu bekommen.
Hilft dieses Tutorial weiter: http://www.baach.de/content/lamp_tutorial.html ? ... Google suche nach "open-ssl apache tutorial", Aufwand ca. 4 Sekunden.
Von dort aus kommst du den Homepages von modssl und openssl, da sollten dir genügend Infos bereitstehen für die Installation.
Grüsse, Frank
-
-