Verwendung nicht vertrauenswürdiger Zertifikate

Hallo,

Zitat von Bytecounter

weshalb ist es in Firefox überhaupt nicht mehr möglich, temporär(!!) selbst signierte Zertifikate zu nutzen?

Das ist nach wie vor möglich. Das Problem in deinem Fall muss also ein anderes sein als dass das Zertifikat selbst signiert ist. Siehe folgende Testseite:

https://self-signed.badssl.com/

Zitat von Bytecounter

Des Weiteren ist diese Funktion selbst ein Sicherheitsproblem.

Selbst wenn keine selbst signierten Zertifikate akzeptiert würden, wäre das extrem weit hergeholt, dass das ein Sicherheitsproblem sei, zumal wohl kaum eine Website mit einem Staging-Zertifikat produktiv online gehen würde, da die Nutzer erstmal alle nur eine Fehlerseite sehen würden. Mal davon ganz abgesehen, dass Zertifikate Domain-gebunden sind.

Zitat von Bytecounter

Bevormunden lassen möchte ich mich von einem Browser aber nicht.

Und solche Formulierungen kannst du dir schenken. Das ist nicht nur unseriös und lässt mir die Lust vergehen, dir zu helfen, es ist vor allem daneben in Anbetracht der Tatsache, dass du vor dieser Unterstellung nicht selbst einmal geprüft hast, ob es überhaupt stimmt, dass selbst signierte Zertifikate grundsätzlich nicht mehr von Firefox unterstützt werden. Neues Profil, Test-Seite suchen, dann hast du eine objektive Vergleichsebene. Nicht gleich mit solch schweren Wörtern wie Bevormundung um dich schmeißen.

---

Leider beinhaltet dein Beitrag mehr darüber, wie doof du das vermeintliche Verhalten von Firefox findest, als das Problem detailliert zu beschreiben. Ich finde kein einziges Wort darüber, wie genau sich das Problem bei dir überhaupt zeigt. Wie wäre es beispielsweise mit Details der Fehlerseite, gerne auch als Screenshot?

Hallo,

ich möchte den Beitrag von Sören noch um einige persönliche Erfahrungen ergänzen.

Ich betreibe seit ~15 Jahren (wo ich vor meiner Pensionierung noch Mitarbeiter eines großen TrustCenters war) eine "gar nicht mal so kleine" Privat-CA. In diesen Jahren habe ich mitunter bis zu 600 Zertifikate pro Jahr hergestellt. In erster Linie für die private S/MIME-Verschlüsselung unserer Mitarbeiter, aber auch viele für diverse privat betriebene Webseiten, Fritz!Boxen, NAS, VPN-Endpunkte usw.

Die Produktion dieser Zertifikate erfolgt nach exakt den gleichen Regeln, wie sie für kommerziell betriebene CA üblich sind - natürlich immer im Rahmen des "Zumutbaren". Ach ja, an LE war damals noch nicht zu denken ... .

Der einzige Unterschied zu den etablierten kommerziellen TC ist, dass deren Herausgeberzertifikate von den Herstellern der diversen Browser, MUA, VPN-Clients usw. bereits vorinstalliert werden. (Manche fliegen auch aus guten Gründen wieder raus ... .) Alles andere ist völlig identisch. Und es ist auch so, dass alle TrustCenter erst einmal ihren eigenen root-Schlüssel selbst generiert haben. Das root-Zertifikat wurde dann entweder selbst signiert oder (meist gegen Bezahlung) zur Signatur an ein etabliertes TC übergeben. Das allererste root-Zertifikat des ersten TC war deshalb auch ein selbst signiertes.

Letztendlich entscheidet die Reputation oder die entsprechenden Selbsterklärungen der TC (nach hoffentlich strenger Überprüfung) - oder eben die Nutzung der Signatur durch ein etabliertes TC - darüber, welches TC in den Browsern usw. gelistet ist. (Und natürlich der Betrag, welchen das jeweilige TC dafür bereit ist, zu zahlen ... .)

Jetzt ist lediglich wichtig, wer die Nutzer der entsprechenden angebotenen und mit diesen selbst signierten Zertifikaten versehenen Dienste sind. Wird ein Dienst ganz öffentlich im Netz angeboten, verbietet es sich fast von selbst, selbst signierte Zertifikate zu verwenden (ist ja auch Dank LE nicht mehr unbedingt erforderlich). Aber zur S/MIME-verschlüsselten Kommunikation untereinander bekannter Personen oder auch zum Zugriff bestimmter berechtigter Personen auf diverse Dienste steht absolut nichts dagegen, dafür selbst signierte Zertifikate zu benutzen. Die erreichbare Sicherheit ist (zumindest bei sachgerechter Produktion dieser Zertifikate und Nutzung eines sicheren Hardware-RGN und auf einem speziell abgesicherten und nicht am Netz hängenden Rechner usw.) ist völlig identisch mit den Produkten kommerzieller TC. Und ja, Vertrauen kann man sich auch erarbeiten ... .

Wenn dann das immer mit übergebene root- (und Jahres-) Zertifikat der privaten CA durch den jeweiligen Nutzer manuell in seinem Browser und MUA unter "Herausgeberzertifikate" importiert wird, sind diese Zertifikate denen der kommerziellen Anbieter ebenbürdig. Dann klappt es auch ohne "Meckermeldung".

Und ein mit openssl selbst erzeugtes Primitiv-Zertifikat ohne jegliche Restiktionen, welches sich dann selbst als CA ausgibt und dann im Rahmen einer "Ausnahmeregel" im Browser importiert wird, ist für mich ein No-Go.

vy 73 de Peter

Kannst du das Problem auch auf der von mir verlinkten Testseite nachvollziehen oder funktioniert es dort?