httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Paul Puschmann <...@uzulabs.net>
Subject Re: Apache2 - Umleitung zu HTTPS
Date Wed, 29 Jun 2005 06:37:42 GMT
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

team007 wrote:
> Paul Puschmann schrieb:
> 
>> Thomas Goik wrote:
>> 
>>>> Paul Puschmann schrieb:
>>>>> Du kannst dich jetzt freuen, dass die SSL-Verbindung zustande
>>>>> kommt aber dadurch dass du aber eine dynamische IP hast und
>>>>> ein unsicheres (weil nicht von einer sicheren Stelle
>>>>> ausgestelltes) SSL-Zertifikat hast, wirst du halt keine
>>>>> wirklich sichere Kommunikation abwickeln können.
>>>>> 
>>>> 
>>>> Ob ein Zertifikat sicher oder unsicher ist hängt doch nicht vom
>>>>  Aussteller ab, sondern viel eher von der Stärke des Schlüssels
>>>> 
>>>> 
>> 
>> Sicher? Ich könnte mir doch genau das gleiche Zertifikat selbst
>> erstellen. Eine fiktive und nicht registrierte Root-CA kann man ja
>> leicht selbst aufbauen. Als Hostnamen kann ich dann ja auch
>> beliebige Werte eintragen.
> 
> Nun ja. Das würde aber voraussetzen, dass dyndns 2 verschiedene 
> IP-Adressen gleichzeitig auf EINEN hostname abbildet. Das machen die 
> nicht wirklich. www.ebay.de bekomme ich ja auch nur auf offiziellem
> wege mit denic und so ;-) 
> http://www.wdr.de/themen/computer/schiebwoche/2004/index_37.jhtml
> 
>> 
>> Warum muss man wohl für Server-Zertifikat ein paar hundert Euro pro
>> Jahr ausgeben, wenn es von Verisign, DSV, Telesec oder anderen
>> kommt?
>> 
> 
> Tja. Warum wohl? Welch seriöse Geschäftsfelder VeriSign sonst noch so
> erschliesst: http://spreeblick.com/blog/index.php?p=324 Am Ende des
> Artikels kommt die o.g. Fa. zur Nennung.
> 
Ist leider Off-Topic und damit irrelevant.
Wir sprechen doch hiervon sicheren Zertifikaten, oder?

Lies dich lieber erst einmal in die Thematik ssl ein, dann weisst du
auch, warum man bei der ernsthaften Benutzung von ssl die Zertifikate
von einem entsprechenden Anbieter beziehen sollte.

>>>>> Die Verbindung ist zwar https, aber auch da kann man sich
>>>>> dazwischen mogeln und den Datenverkehr abhören.
>>>>> 
>>>> 
>>>> Den Datenverkehr kann jeder überall abhören (theoretisch) aber
>>>> da ja Verschlüsselt ist nur "zerhackt", und ich denke nicht ,
>>>> das jemand bei dem Server den Aufwand betreiben wird den
>>>> Schlüssel knacken zu wollen, daher
>>>> kann es durchaus auch ein schwächerer Schlüssel sein!
>>>> 
>>>> Gruß Thomas Goik
>>>> 
>> 
>> Schon mal was von Man-In-The-Middle-Attack gehört?
>> 
>> http://de.wikipedia.org/wiki/Man-In-The-Middle-Attack (letzter
>> Absatz)
>> 
> 
> Das kann mir aber auch MIT VeriSign_Zertifikat passieren. So wirklich
> sicher ist nur wenn das/die Netzwerkkabel gezogen wird/werden ;-) Und
> des Weiteren die Maschine ständig unter Bewachung steht.
> 
Wenn ich mit den openssl-Bordmitteln mit ein Zertifikat basteln kann,
dass die gleichen Informationen enthält wie dein Webserver, kann ich ja
wohl sehr viel einfacher die Informationen abfangen, da der Benutzer
denkt, dass er tatsächlich gerade mit deinem Webserver spricht.

Bei Zertifikaten eines entsprechenden Anbieters ist das nicht möglich,
da du z.B. bei der Überprüfung der Verschlüsselung siehst, dass das
Zertifikat z.B. nicht von der Telesec ServerPass CA ausgestellt worden ist.

Mein Thunderbird hatt übrigens gerade keine Lust mehr vernünftig zu
quote, da musste ich das mal von Hand erledigen. Ich hoffe, es ist alles
richtig.

Paul
- --
Linux-User #271918 with the Linux Counter, http://counter.li.org/
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (MingW32)

iEYEARECAAYFAkLCQbYACgkQqErKtBWD7VRlvQCfQH/Nc/gibPRIQb+TUaEl39yU
gaAAoNDpUzOnIDDar/GOZQLd/UicWGrB
=bVXB
-----END PGP SIGNATURE-----


--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------


Mime
View raw message